无字母数字Webshell高级利用技术<\/h1>

一、问题背景<\/h2>

给定PHP代码限制条件：<\/p>

<?<\/span>php<\/span>
<\/span><\/span>if<\/span>(isset<\/span>($_GET['code'<\/span>])){
<\/span><\/span>    $code =<\/span> $_GET['code'<\/span>];
<\/span><\/span>    if<\/span>(strlen<\/span>($code)><\/span>35<\/span>){
<\/span><\/span>        die<\/span>("Long."<\/span>);
<\/span><\/span>    }
<\/span><\/span>    if<\/span>(preg_match<\/span>("\/[A-Za-z0-9_$]+\/"<\/span>,$code)){
<\/span><\/span>        die<\/span>("NO."<\/span>);
<\/span><\/span>    }
<\/span><\/span>    eval<\/span>($code);
<\/span><\/span>}else<\/span>{
<\/span><\/span>    highlight_file<\/span>(__FILE__<\/span>);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>限制条件：<\/p>

代码长度不超过35个字符<\/li>
不能包含字母、数字、下划线(_)和美元符号($)<\/li>
<\/ol>
二、PHP7解决方案<\/h2>
技术原理<\/h3>
PHP7修改了表达式执行顺序，支持($a)();<\/code>这样的动态函数执行方式。<\/p>
实现方法<\/h3>
使用取反(~)操作生成字符串：<\/p>
(~%<\/span>8<\/span>F<\/span>%<\/span>97<\/span>%<\/span>8<\/span>F<\/span>%<\/span>96<\/span>%<\/span>91<\/span>%<\/span>99<\/span>%<\/span>90<\/span>)();
<\/span><\/span><\/code><\/pre>
%8F%97%8F%96%91%99%90<\/code>是"phpinfo"取反后的URL编码<\/li>
~<\/code>操作符将字符串取反还原<\/li>
最后加()<\/code>执行函数<\/li>
<\/ul>
三、PHP5解决方案<\/h2>
技术难点<\/h3>
PHP5不支持($a)();<\/code>这种动态函数执行方式，需要另寻他法。<\/p>
解决思路<\/h3>
利用PHP反引号执行系统命令，结合Linux shell特性绕过限制。<\/p>
关键点1：反引号执行命令<\/h4>
PHP中反引号可以执行系统命令，且不属于字母、数字或特殊字符。<\/p>
关键点2：Linux glob通配符<\/h4>

.<\/code>或source<\/code>命令可以执行文件内容<\/li>
Linux文件名支持glob通配符：

*<\/code> 匹配任意数量字符<\/li>
?<\/code> 匹配单个字符<\/li>
[^x]<\/code> 匹配非x字符<\/li>
[@-[]<\/code> 匹配大写字母（ASCII码中@到[之间的字符）<\/li>
<\/ul>
<\/li>
<\/ol>
具体实现步骤<\/h4>


上传临时文件<\/strong>：<\/p>

发送文件上传POST请求，PHP会生成\/tmp\/phpXXXXXX<\/code>临时文件<\/li>
文件名最后6个字符是随机大小写字母<\/li>
<\/ul>
<\/li>

定位临时文件<\/strong>：<\/p>

使用\/tmp\/php*<\/code>匹配临时文件<\/li>
使用[@-[]<\/code>匹配大写字母，精准定位PHP生成的临时文件<\/li>
<\/ul>
<\/li>

执行命令<\/strong>：<\/p>
<?=<\/span> .<\/span> \/<\/span>tmp<\/span>\/<\/span>php<\/span>*<\/span> [@-<\/span>[];?><\/span>
<\/span><\/span><\/span><\/code><\/pre>或更简洁的形式：<\/p>
?><\/span><?= . ;?>
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ol>
四、关键知识点总结<\/h2>


PHP7新特性<\/strong>：<\/p>

支持(expression)();<\/code>直接执行动态函数<\/li>
可利用取反操作生成所需函数名<\/li>
<\/ul>
<\/li>

PHP5绕过技术<\/strong>：<\/p>

反引号执行系统命令<\/li>
结合Linux shell特性：

.<\/code>命令执行文件<\/li>
glob通配符高级用法<\/li>
ASCII码范围匹配<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

通配符技巧<\/strong>：<\/p>

[@-[]<\/code> 匹配大写字母<\/li>
[^x]<\/code> 排除特定字符<\/li>
组合使用缩小匹配范围<\/li>
<\/ul>
<\/li>
<\/ol>
五、防御建议<\/h2>

禁用危险函数：eval()<\/code>、system()<\/code>、exec()<\/code>等<\/li>
严格过滤输入，不限于字母数字检查<\/li>
限制临时文件目录权限<\/li>
升级到PHP7+并禁用危险特性<\/li>
使用disable_functions禁用危险函数<\/li>
<\/ol>
六、扩展思考<\/h2>

其他字符编码方式：异或、位运算等<\/li>
不同环境下的利用方式差异<\/li>
无字母数字限制下的其他语言webshell构造方法<\/li>
<\/ol>
通过深入理解语言特性和系统特性，即使在严格限制下也能找到突破方法，这对攻防双方都具有重要参考价值。<\/p>

无字母数字Webshell高级利用技术<\/h1>

二、PHP7解决方案<\/h2>

技术原理<\/h3>
PHP7修改了表达式执行顺序，支持`($a)();<\/code>这样的动态函数执行方式。<\/p>`

三、PHP5解决方案<\/h2>

技术难点<\/h3>
PHP5不支持`($a)();<\/code>这种动态函数执行方式，需要另寻他法。<\/p>`

关键点1：反引号执行命令<\/h4>
PHP中反引号可以执行系统命令，且不属于字母、数字或特殊字符。<\/p>

无字母数字Webshell高级利用技术<\/h1>

二、PHP7解决方案<\/h2>

技术原理<\/h3> PHP7修改了表达式执行顺序，支持($a)();<\/code>这样的动态函数执行方式。<\/p>

三、PHP5解决方案<\/h2>

技术难点<\/h3> PHP5不支持($a)();<\/code>这种动态函数执行方式，需要另寻他法。<\/p>

关键点1：反引号执行命令<\/h4> PHP中反引号可以执行系统命令，且不属于字母、数字或特殊字符。<\/p>

技术原理<\/h3>
PHP7修改了表达式执行顺序，支持`($a)();<\/code>这样的动态函数执行方式。<\/p>`

技术难点<\/h3>
PHP5不支持`($a)();<\/code>这种动态函数执行方式，需要另寻他法。<\/p>`

关键点1：反引号执行命令<\/h4>
PHP中反引号可以执行系统命令，且不属于字母、数字或特殊字符。<\/p>