无字母数字webshell之提高篇

前几天【代码审计知识星球】里有同学提出了一个问题,大概代码如下:

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

这个代码如果要getshell,怎样利用?

这题可能来自是我曾写过的一篇文章:《一些不包含数字和字母的webshell》,里面介绍了如何构造无字母数字的webshell。其中有两个主要的思路:

  1. 利用位运算
  2. 利用自增运算符

当然,这道题多了两个限制:

  1. webshell长度不超过35位
  2. 除了不包含字母数字,还不能包含$_

难点呼之欲出了,我前面文章中给出的所有方法,都用到了PHP中的变量,需要对变量进行变形、异或、取反等操作,最后动态执行函数。但现在,因为$不能使用了,所以我们无法构造PHP中的变量。

所以,如何解决这个问题?

PHP7 下简单解决问题

我们将上述代码放在index.php中,然后执行docker run --rm -p 9090:80 -v `pwd`:/var/www/html php:7.2-apache,启动一个php 7.2的服务器。

php7中修改了表达式执行的顺序:http://php.net/manual/zh/migration70.incompatible.php

image.png

PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7中增加了对此的支持。所以,我们可以通过('phpinfo')();来执行函数,第一个括号中可以是任意PHP表达式。

所以很简单了,构造一个可以生成phpinfo这个字符串的PHP表达式即可。payload如下(不可见字符用url编码表示):

(~%8F%97%8F%96%91%99%90)();

image.png

PHP5的思考

我们使用docker run --rm -p 9090:80 -v `pwd`:/var/www/html php:5.6-apach来运行一个php5.6的web环境。

此时,我们尝试用PHP7的payload,将会得到一个错误:

image.png

原因就是php5并不支持这种表达方式。

在我在知识星球里发出帖子的时候,其实还没想到如何用PHP5解决问题,但我有自信解决它,所以先发了这个小挑战。后来关上电脑仔细想想,发现当思路禁锢在一个点的时候,你将会钻进牛角尖;当你用大局观来看待问题,问题就迎刃而解。

当然,我觉得我的方法应该不是唯一的,不过一直没人出来公布答案,我就先抛钻引玉了。

大部分语言都不会是单纯的逻辑语言,一门全功能的语言必然需要和操作系统进行交互。操作系统里包含的最重要的两个功能就是“shell(系统命令)”和“文件系统”,很多木马与远控其实也只实现了这两个功能。

PHP自然也能够和操作系统进行交互,“反引号”就是PHP中最简单的执行shell的方法。那么,在使用PHP无法解决问题的情况下,为何不考虑用“反引号”+“shell”的方式来getshell呢?

PHP5+shell打破禁锢

因为反引号不属于“字母”、“数字”,所以我们可以执行系统命令,但问题来了:如何利用无字母、数字、$的系统命令来getshell?

好像问题又回到了原点:无字母、数字、$,在shell中仍然是一个难题。

此时我想到了两个有趣的Linux shell知识点:

  1. shell下可以利用.来执行任意脚本
  2. Linux文件名支持用glob通配符代替

第一点曾在《 小密圈里的那些奇技淫巧 》露出过一角,但我没细讲。.或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。比如,当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。

. file执行文件,是不需要file有x权限的。那么,如果目标服务器上有一个我们可控的文件,那不就可以利用.来执行它了吗?

这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。

第二个难题接踵而至,执行. /tmp/phpXXXXXX,也是有字母的。此时就可以用到Linux下的glob通配符:

  • *可以代替0个及以上任意字符
  • ?可以代表1个任意字符

那么,/tmp/phpXXXXXX就可以表示为/*/?????????/???/?????????

但我们尝试执行. /???/?????????,却得到如下错误:

image.png

这是因为,能够匹配上/???/?????????这个通配符的文件有很多,我们可以列出来:

image.png

可见,我们要执行的/tmp/phpcjggLC排在倒数第二位。然而,在执行第一个匹配上的文件(即/bin/run-parts)的时候就已经出现了错误,导致整个流程停止,根本不会执行到我们上传的文件。

思路又陷入了僵局,虽然方向没错。

深入理解glob通配符

大部分同学对于通配符,可能知道的都只有*?。但实际上,阅读Linux的文档( http://man7.org/linux/man-pages/man7/glob.7.html ),可以学到更多有趣的知识点。

其中,glob支持用[^x]的方法来构造“这个位置不是字符x”。那么,我们用这个姿势干掉/bin/run-parts

image.png

排除了第4个字符是-的文件,同样我们可以排除包含.的文件:

image.png

现在就剩最后三个文件了。但我们要执行的文件仍然排在最后,但我发现这三个文件名中都不包含特殊字符,那么这个方法似乎行不通了。

继续阅读glob的帮助,我发现另一个有趣的用法:

image.png

就跟正则表达式类似,glob支持利用[0-9]来表示一个范围。

我们再来看看之前列出可能干扰我们的文件:

image.png

所有文件名都是小写,只有PHP生成的临时文件包含大写字母。那么答案就呼之欲出了,我们只要找到一个可以表示“大写字母”的glob通配符,就能精准找到我们要执行的文件。

翻开ascii码表,可见大写字母位于@[之间:

image.png

那么,我们可以利用[@-[]来表示大写字母:

image.png

显然这一招是管用的。

构造POC,执行任意命令

当然,php生成临时文件名是随机的,最后一个字符不一定是大写字母,不过多尝试几次也就行了。

最后,我传入的code为?><?=`. /???/????????[@-[]`;?>,发送数据包如下:

image.png

成功执行任意命令。

赞赏

喜欢这篇文章,扫码和我成为赞友!

评论

nu11hex 回复

匹配大写字母还可以用[[:upper:]],关于通配符可以参考
http://billie66.github.io/TLCL/book/chap05.html

nu11hex 回复

@nu11hex 诶呀看到后面忘记前面不能字母了23333,尴尬

nu11hex 回复

每次看p神的产出,都如醍醐灌顶 酣畅淋漓

nu11hex 回复

@nu11hex “用. file执行文件,是不需要file有x权限的”,这是为啥O.O

nu11hex 回复

@nu11hex 是不是与父目录的x相关

phithon 回复

@nu11hex
. file就和sh file一样,file是sh的参数

h 回复

g啊

dingding 回复

@dingding 测试 thank you

dingding 回复

大佬,想自己搭个博客,可以用你的前端吗?

phithon 回复

@dingding
OK,前端是一个开源的项目,可以参考 https://www.leavesongs.com/other/tinger.html

dingding 回复

@phithon 好的

null 回复

这个方法还是非常好的

ryweer 回复

表哥对绕过词法分析有什么思路嘛

phithon 回复

@ryweer
曾有过一些思路和案例,主要是找到这个WAF的错误与没有考虑到的地方,具体案例具体分析,不能说有一个方法能绕过全天下的WAF,但针对性的绕过一些有词法分析的WAF还是可以的。
比如我们公司长亭科技的sqlchop,就内含典型的SQL词法分析,历史上就有很多绕过方法,我也学到很多知识,只是不方便透露。如果对此感兴趣,欢迎投递简历~~嘿嘿

自强不息 回复

看不懂啊,请解释一下.
PHPINFO -> URLencode -> %50%48%50%49%4e%46%4f
phpinfo -> URLencode -> %70%68%70%69%6e%66%6f
怎么也凑不出 %8F%97%8F%96%91%99%90
还有那个~是干什么用的?

自强不息 回复

看不懂啊,请解释一下.
PHPINFO -> URLencode -> %50%48%50%49%4e%46%4f
phpinfo -> URLencode -> %70%68%70%69%6e%66%6f
怎么也凑不出 %8F%97%8F%96%91%99%90
还有那个~是干什么用的?

phithon 回复

@自强不息 百度:取反

kurisu 回复

php脚本执行完毕tmp里的文件不就自动删除了吗,tmp目录里找不到文件怎么办

phithon 回复

@kurisu
执行shell的过程是和上传在一个请求里的,这个请求执行完成以后才会删除临时文件。
这个问题是很多新手都会有的疑问,要真正理解,还需多了解一下php的执行过程。

kurisu 回复

@phithon 嗯。但我不太明白怎么把这两步放到一个请求里

phithon 回复

@kurisu 只要是PHP运行的网站,只要向其POST文件,PHP就会直接放在临时目录下。同时,这个请求的$_GET['code']也是webshell,这个webshell做的事情就是执行这个临时文件。

kurisu 回复

@phithon 可是。post请求在上传界面比如upload.html,然后传到比如index.php;执行shell的code是传输到index.php。我刚开始学php,不太明白是怎么放到一起的。

kurisu 回复

@phithon 可是。post请求在上传界面比如upload.html,然后传到比如index.php;执行shell的code是传输到upload.php。我刚开始学php,不太明白是怎么放到一起的。前面说错了

phithon 回复

@kurisu 你对概念还不太清楚,我也很难在一句话两句话说清楚,等你学的差不多以后自然就懂了。

Rain 回复

%8F%97%8F%96%91%99%90
请教下phpinfo的url编码好像不是这个,能不能指点一下

phithon 回复

@Rain
这是'phpinfo'取反后的url编码,'phpinfo'不可能直接出现,因为包含字母。

jason 回复

(~%8F%97%8F%96%91%99%90)(); 这个是什么生成phpinfo的呢? 不解

FN 回复

可限定前面字符为php,/???/[p][h][p]??????

phithon 回复

@FN 不能有字母、数字

FN 回复

@phithon 不好意思,看到后面给忘了,刚想起来,尴尬

test 回复

@phithon test测试

test 回复

@test @文雨 @phithon @文雨 @ryweer @文雨 测试,P牛打扰了

文雨 回复

最后一个字符在这里恰巧是大写,如果最后一个字符是小写呢

phithon 回复

@文雨
额。。。文章里说了,文件名是随机生成的,大写、小写不就50%的概率吗,多试几次就行了

文雨 回复

@phithon 恩,没看的那么仔细,我的问题。。。

captcha