无字母数字Webshell之提高篇

栏目: PHP · 发布时间: 6年前

内容简介:前几天有同学提出了一个问题,大概代码如下:这个代码如果要getshell,怎样利用?

*本文原创作者: phithon ,本文属FreeBuf原创奖励计划,未经许可禁止转载

前几天有同学提出了一个问题,大概代码如下:

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

这个代码如果要getshell,怎样利用?

这题可能来自是我曾写过的一篇文章: 《一些不包含数字和字母的Webshell》 ,里面介绍了如何构造无字母数字的webshell。其中有两个主要的思路:

1.利用位运算
2.利用自增运算符

当然,这道题多了两个限制:

1.webshell长度不超过35位
2.除了不包含字母数字,还不能包含$和_

难点呼之欲出了,我前面文章中给出的所有方法,都用到了 PHP 中的变量,需要对变量进行变形、异或、取反等操作,最后动态执行函数。但现在,因为$不能使用了,所以我们无法构造PHP中的变量。

所以,如何解决这个问题?

PHP7 下简单解决问题

我们将上述代码放在index.php中,然后执行docker run –rm -p 9090:80 -v pwd :/var/www/html php:7.2-apache,启动一个php 7.2的服务器。

php7中修改了表达式执行的顺序: http://php.net/manual/zh/migration70.incompatible.php

无字母数字Webshell之提高篇

PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7中增加了对此的支持。所以,我们可以通过(‘phpinfo’)();来执行函数,第一个括号中可以是任意PHP表达式。

所以很简单了,构造一个可以生成phpinfo这个字符串的PHP表达式即可。payload如下(不可见字符用url编码表示):

(~%8F%97%8F%96%91%99%90)();

无字母数字Webshell之提高篇

PHP5的思考

我们使用docker run –rm -p 9090:80 -v pwd :/var/www/html php:5.6-apach来运行一个php5.6的web环境。

此时,我们尝试用PHP7的payload,将会得到一个错误:

无字母数字Webshell之提高篇

原因就是php5并不支持这种表达方式。

在我在知识星球里发出帖子的时候,其实还没想到如何用PHP5解决问题,但我有自信解决它,所以先发了这个小挑战。后来关上电脑仔细想想,发现当思路禁锢在一个点的时候,你将会钻进牛角尖;当你用大局观来看待问题,问题就迎刃而解。

当然,我觉得我的方法应该不是唯一的,不过一直没人出来公布答案,我就先抛钻引玉了。

大部分语言都不会是单纯的逻辑语言,一门全功能的语言必然需要和操作系统进行交互。操作系统里包含的最重要的两个功能就是“shell(系统命令)”和“文件系统”,很多木马与远控其实也只实现了这两个功能。

PHP自然也能够和操作系统进行交互,“反引号”就是PHP中最简单的执行 shell 的方法。那么,在使用PHP无法解决问题的情况下,为何不考虑用“反引号”+“shell”的方式来getshell呢?

PHP5+shell打破禁锢

因为反引号不属于“字母”、“数字”,所以我们可以执行系统命令,但问题来了:如何利用无字母、数字、$的系统命令来getshell?

好像问题又回到了原点:无字母、数字、$,在shell中仍然是一个难题。

此时我想到了两个有趣的Linux shell知识点:

1.shell下可以利用.来执行任意脚本
2.Linux文件名支持用glob通配符代替

第一点曾在 《 小密圈里的那些奇技淫巧 》 露出过一角,但我没细讲。.或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。比如,当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。

用. file执行文件,是不需要file有x权限的。那么,如果目标服务器上有一个我们可控的文件,那不就可以利用.来执行它了吗?

这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。

第二个难题接踵而至,执行. /tmp/phpXXXXXX,也是有字母的。此时就可以用到 Linux 下的glob通配符:

*可以代替0个及以上任意字符
?可以代表1个任意字符

那么,/tmp/phpXXXXXX就可以表示为/*/?????????或/???/?????????。

但我们尝试执行. /???/?????????,却得到如下错误:

无字母数字Webshell之提高篇

这是因为,能够匹配上/???/?????????这个通配符的文件有很多,我们可以列出来:

无字母数字Webshell之提高篇

可见,我们要执行的/tmp/phpcjggLC排在倒数第二位。然而,在执行第一个匹配上的文件(即/bin/run-parts)的时候就已经出现了错误,导致整个流程停止,根本不会执行到我们上传的文件。

思路又陷入了僵局,虽然方向没错。

深入理解glob通配符

大部分同学对于通配符,可能知道的都只有*和?。但实际上,阅读Linux的文档( http://man7.org/linux/man-pages/man7/glob.7.html ),可以学到更多有趣的知识点。

其中,glob支持用[^x]的方法来构造“这个位置不是字符x”。那么,我们用这个姿势干掉/bin/run-parts:

无字母数字Webshell之提高篇

排除了第4个字符是-的文件,同样我们可以排除包含.的文件:

无字母数字Webshell之提高篇

现在就剩最后三个文件了。但我们要执行的文件仍然排在最后,但我发现这三个文件名中都不包含特殊字符,那么这个方法似乎行不通了。

继续阅读glob的帮助,我发现另一个有趣的用法:

无字母数字Webshell之提高篇

就跟正则表达式类似,glob支持利用[0-9]来表示一个范围。

我们再来看看之前列出可能干扰我们的文件:

无字母数字Webshell之提高篇

所有文件名都是小写,只有PHP生成的临时文件包含大写字母。那么答案就呼之欲出了,我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。

翻开ascii码表,可见大写字母位于@与[之间:

无字母数字Webshell之提高篇

那么,我们可以利用[@-[]来表示大写字母:

无字母数字Webshell之提高篇

显然这一招是管用的。

构造POC,执行任意命令

当然,php生成临时文件名是随机的,最后一个字符不一定是大写字母,不过多尝试几次也就行了。

最后,我传入的code为?><?= . /???/????????[@-[] ;?>,发送数据包如下:

无字母数字Webshell之提高篇


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Head First Design Patterns

Head First Design Patterns

Elisabeth Freeman、Eric Freeman、Bert Bates、Kathy Sierra、Elisabeth Robson / O'Reilly Media / 2004-11-1 / USD 49.99

You're not alone. At any given moment, somewhere in the world someone struggles with the same software design problems you have. You know you don't want to reinvent the wheel (or worse, a flat tire),......一起来看看 《Head First Design Patterns》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具