无字母数字webshell之提高篇

前几天【代码审计知识星球】里有同学提出了一个问题，大概代码如下：

<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

这个代码如果要getshell，怎样利用？

这题可能来自是我曾写过的一篇文章：《 一些不包含数字和字母的webshell 》，里面介绍了如何构造无字母数字的webshell。其中有两个主要的思路：

1. 利用位运算
2. 利用自增运算符

当然，这道题多了两个限制：

1. webshell长度不超过35位
2. 除了不包含字母数字，还不能包含 $ 和 _

难点呼之欲出了，我前面文章中给出的所有方法，都用到了 PHP 中的变量，需要对变量进行变形、异或、取反等操作，最后动态执行函数。但现在，因为 $ 不能使用了，所以我们无法构造PHP中的变量。

所以，如何解决这个问题？

我们将上述代码放在index.php中，然后执行 docker run --rm -p 9090:80 -v `pwd`:/var/www/html php:7.2-apache ，启动一个php 7.2的服务器。

php7中修改了表达式执行的顺序： http://php.net/manual/zh/migration70.incompatible.php ：

PHP7前是不允许用 ($a)(); 这样的方法来执行动态函数的，但PHP7中增加了对此的支持。所以，我们可以通过 ('phpinfo')(); 来执行函数，第一个括号中可以是任意PHP表达式。

所以很简单了，构造一个可以生成 phpinfo 这个字符串的PHP表达式即可。payload如下（不可见字符用url编码表示）：

(~%8F%97%8F%96%91%99%90)();

我们使用 docker run --rm -p 9090:80 -v `pwd`:/var/www/html php:5.6-apach 来运行一个php5.6的web环境。

此时，我们尝试用PHP7的payload，将会得到一个错误：

原因就是php5并不支持这种表达方式。

在我在知识星球里发出帖子的时候，其实还没想到如何用PHP5解决问题，但我有自信解决它，所以先发了这个小挑战。后来关上电脑仔细想想，发现当思路禁锢在一个点的时候，你将会钻进牛角尖；当你用大局观来看待问题，问题就迎刃而解。

当然，我觉得我的方法应该不是唯一的，不过一直没人出来公布答案，我就先抛钻引玉了。

大部分语言都不会是单纯的逻辑语言，一门全功能的语言必然需要和操作系统进行交互。操作系统里包含的最重要的两个功能就是“shell（系统命令）”和“文件系统”，很多木马与远控其实也只实现了这两个功能。

PHP自然也能够和操作系统进行交互，“反引号”就是PHP中最简单的执行 shell 的方法。那么，在使用PHP无法解决问题的情况下，为何不考虑用“反引号”+“shell”的方式来getshell呢？

因为反引号不属于“字母”、“数字”，所以我们可以执行系统命令，但问题来了：如何利用无字母、数字、 $ 的系统命令来getshell？

好像问题又回到了原点：无字母、数字、 $ ，在shell中仍然是一个难题。

此时我想到了两个有趣的Linux shell知识点：

.

第一点曾在《 小密圈里的那些奇技淫巧 》露出过一角，但我没细讲。 . 或者叫period，它的作用和source一样，就是用当前的shell执行一个文件中的命令。比如，当前运行的shell是bash，则 . file 的意思就是用bash执行file文件中的命令。

用 . file 执行文件，是不需要file有x权限的。那么，如果目标服务器上有一个我们可控的文件，那不就可以利用 . 来执行它了吗？

这个文件也很好得到，我们可以发送一个上传文件的POST包，此时PHP会将我们上传的文件保存在临时文件夹下，默认的文件名是 /tmp/phpXXXXXX ，文件名最后6个字符是随机的大小写字母。

第二个难题接踵而至，执行 . /tmp/phpXXXXXX ，也是有字母的。此时就可以用到 Linux 下的glob通配符：

*
?

那么， /tmp/phpXXXXXX 就可以表示为 /*/????????? 或 /???/????????? 。

但我们尝试执行 . /???/????????? ，却得到如下错误：

这是因为，能够匹配上 /???/????????? 这个通配符的文件有很多，我们可以列出来：

可见，我们要执行的 /tmp/phpcjggLC 排在倒数第二位。然而，在执行第一个匹配上的文件（即 /bin/run-parts ）的时候就已经出现了错误，导致整个流程停止，根本不会执行到我们上传的文件。

思路又陷入了僵局，虽然方向没错。

大部分同学对于通配符，可能知道的都只有 * 和 ? 。但实际上，阅读Linux的文档（ http://man7.org/linux/man-pages/man7/glob.7.html ），可以学到更多有趣的知识点。

其中，glob支持用 [^x] 的方法来构造“这个位置不是字符x”。那么，我们用这个姿势干掉 /bin/run-parts ：

排除了第4个字符是 - 的文件，同样我们可以排除包含 . 的文件：

现在就剩最后三个文件了。但我们要执行的文件仍然排在最后，但我发现这三个文件名中都不包含特殊字符，那么这个方法似乎行不通了。

继续阅读glob的帮助，我发现另一个有趣的用法：

就跟正则表达式类似，glob支持利用 [0-9] 来表示一个范围。

我们再来看看之前列出可能干扰我们的文件：

所有文件名都是小写，只有PHP生成的临时文件包含大写字母。那么答案就呼之欲出了，我们只要找到一个可以表示“大写字母”的glob通配符，就能精准找到我们要执行的文件。

翻开ascii码表，可见大写字母位于 @ 与 [ 之间：

那么，我们可以利用 [@-[] 来表示大写字母：

显然这一招是管用的。

构造POC，执行任意命令

当然，php生成临时文件名是随机的，最后一个字符不一定是大写字母，不过多尝试几次也就行了。

最后，我传入的code为 ?><?=`. /???/????????[@-[]`;?> ，发送数据包如下：

成功执行任意命令。