无字母数字Webshell之提高篇
|
副标题[/!--empirenews.page--]
前几天有同学提出了一个问题,大概代码如下:
这个代码如果要getshell,怎样利用? 这题可能来自是我曾写过的一篇文章,里面介绍了如何构造无字母数字的webshell。其中有两个主要的思路:
当然,这道题多了两个限制:
难点呼之欲出了,我前面文章中给出的所有方法,都用到了PHP中的变量,需要对变量进行变形、异或、取反等操作,最后动态执行函数。但现在,因为$不能使用了,所以我们无法构造PHP中的变量。 所以,如何解决这个问题? PHP7 下简单解决问题 我们将上述代码放在index.php中,然后执行docker run –rm -p 9090:80 -v pwd:/var/www/html php:7.2-apache,启动一个php 7.2的服务器。 php7中修改了表达式执行的顺序:http://php.net/manual/zh/migration70.incompatible.php :
PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7中增加了对此的支持。所以,我们可以通过(‘phpinfo’)();来执行函数,第一个括号中可以是任意PHP表达式。 所以很简单了,构造一个可以生成phpinfo这个字符串的PHP表达式即可。payload如下(不可见字符用url编码表示):
PHP5的思考 我们使用docker run –rm -p 9090:80 -v pwd:/var/www/html php:5.6-apach来运行一个php5.6的web环境。 此时,我们尝试用PHP7的payload,将会得到一个错误:
原因就是php5并不支持这种表达方式。 在我在知识星球里发出帖子的时候,其实还没想到如何用PHP5解决问题,但我有自信解决它,所以先发了这个小挑战。后来关上电脑仔细想想,发现当思路禁锢在一个点的时候,你将会钻进牛角尖;当你用大局观来看待问题,问题就迎刃而解。 当然,我觉得我的方法应该不是唯一的,不过一直没人出来公布答案,我就先抛钻引玉了。 大部分语言都不会是单纯的逻辑语言,一门全功能的语言必然需要和操作系统进行交互。操作系统里包含的最重要的两个功能就是“shell(系统命令)”和“文件系统”,很多木马与远控其实也只实现了这两个功能。 PHP自然也能够和操作系统进行交互,“反引号”就是PHP中最简单的执行shell的方法。那么,在使用PHP无法解决问题的情况下,为何不考虑用“反引号”+“shell”的方式来getshell呢? PHP5+shell打破禁锢 因为反引号不属于“字母”、“数字”,所以我们可以执行系统命令,但问题来了:如何利用无字母、数字、$的系统命令来getshell? 好像问题又回到了原点:无字母、数字、$,在shell中仍然是一个难题。 此时我想到了两个有趣的Linux shell知识点:
第一点曾在在我之前的文章露出过一角,但我没细讲。.或者叫period,它的作用和source一样,就是用当前的shell执行一个文件中的命令。比如,当前运行的shell是bash,则. file的意思就是用bash执行file文件中的命令。 用. file执行文件,是不需要file有x权限的。那么,如果目标服务器上有一个我们可控的文件,那不就可以利用.来执行它了吗? 这个文件也很好得到,我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。 第二个难题接踵而至,执行. /tmp/phpXXXXXX,也是有字母的。此时就可以用到Linux下的glob通配符:
那么,/tmp/phpXXXXXX就可以表示为/*/?????????或/???/?????????。 但我们尝试执行. /???/?????????,却得到如下错误:
这是因为,能够匹配上/???/?????????这个通配符的文件有很多,我们可以列出来:
可见,我们要执行的/tmp/phpcjggLC排在倒数第二位。然而,在执行第一个匹配上的文件(即/bin/run-parts)的时候就已经出现了错误,导致整个流程停止,根本不会执行到我们上传的文件。 思路又陷入了僵局,虽然方向没错。 深入理解glob通配符 大部分同学对于通配符,可能知道的都只有*和?。但实际上,阅读Linux的文档( http://man7.org/linux/man-pages/man7/glob.7.html ),可以学到更多有趣的知识点。 (编辑:广西网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
