无字母数字webshell之命令执行

源码

题目限制:

  1. webshell长度不超过35位
  2. 除了不包含字母数字,还不能包含$_

这里使用php5来解决

可以围绕以下两点展开:

  1. shell下可以利用.来执行任意脚本
  2. Linux文件名支持用glob通配符代替

.或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。比如,当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令

并且用. file执行文件,是不需要file有x权限的

我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX

由于执行该命令也需要用到字母,那此时可以用到glob通配符

1.*可以代替0个及以上任意字符

2.?可以代表1个任意字符

这是由于能够匹配上/???/?????????这个通配符的文件有很多,如果先匹配到别的文件则会出现错误,导致整个流程停止,根本不会执行到我们上传的文件。

通过ASCII码表可得知,大写字母位于@[之间

先创建一个文件(文件名要对上),测试

构造POC,执行任意命令

php生成临时文件名是随机的,最后一个字符不一定是大写字母

复现漏洞还需要用于存放shell命令的文件以及用于提交表单的html

这里把提交的表单数据复制过来

需要将request中的get改为post,因为get提交没有临时文件。这里post作为请求体,而code作为get传参,执行完后才会删除临时文件

code为

php 复制代码
`?><?=`. +/???/????????[@-[]`;?>`

get传参需要url编码

第一个?>为闭合,+为空格编码

通过eval()执行反引号从而执行系统命令

在burpsuite中可以不转码

注意:这里的POST与GET参数是并行的

想要查看临时文件是否生成,可以用sleep()函数

相关推荐
SuperherRo2 小时前
WEB攻防-文件包含&LFI&RFI&伪协议编码算法&无文件利用&黑白盒
php·文件包含·伪协议·lfi·无文件·黑白盒·rfi
(:满天星:)6 小时前
第31篇:块设备与字符设备管理深度解析(基于OpenEuler 24.03)
linux·运维·服务器·网络·centos
野蛮人6号8 小时前
虚拟机网络编译器还原默认设置后VMnet8和VMnet1消失了
网络·vmware·虚拟机网络编译器·vmnet8消失
scuter_yu9 小时前
主流零信任安全产品深度介绍
运维·网络·安全
江苏思维驱动智能研究院有限公司9 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全
面朝大海,春不暖,花不开9 小时前
Java网络编程:TCP/UDP套接字通信详解
java·网络·tcp/ip
ChicagoTypewriter9 小时前
计算机网络中的常用表项梳理
网络·计算机网络·智能路由器
用户Taobaoapi201412 小时前
Taobao agent USA丨美国淘宝代购1688代采集运系统搭建指南
数据挖掘·php
蓝色记忆12 小时前
Classmap 如何兼容旧代码
php
Bruce_Liuxiaowei12 小时前
常见高危端口风险分析与防护指南
网络·网络安全·端口·信息搜集