当前位置：首页 > news >正文

PHP无字母数字WebShell构造：异或、取反、自增与文件上传绕过技巧详解

news 2026/6/24 7:18:00

1. 项目概述：当代码执行遇上字符限制

在渗透测试或安全研究的过程中，我们经常会遇到一个经典的场景：目标系统存在一个可以执行代码的入口点，比如一个eval()或者assert()函数，但它的输入被严格过滤了。最常见的过滤规则之一，就是禁止使用字母和数字。想象一下，你面前有一台功能强大的机器，但操作面板上只允许你使用几个特定的符号按键，如何用它拼写出完整的指令？这就是“无字母数字WebShell构造”所要解决的核心问题。

这绝不是一个纸上谈兵的技巧。在实际的攻防对抗中，尤其是针对一些WAF（Web应用防火墙）规则或代码审计中的硬性过滤，这种技术往往能成为突破最后一道防线的关键。它考验的是我们对编程语言底层特性的深刻理解，以及将有限资源组合成无限可能的创造力。本文将带你深入解析利用异或、或、取反、自增以及临时文件上传这五大核心技巧，来构造出功能完整的WebShell。无论你是安全研究人员、渗透测试工程师，还是对Web安全底层原理感兴趣的开发者，掌握这些技巧都能极大地拓宽你的思路和实战能力。

2. 核心原理：绕过字符限制的底层逻辑

在PHP语言中（这也是此类技巧最常应用的场景），代码的执行最终依赖于引擎对字符串的解析。当过滤规则只允许非字母数字字符（即不在a-zA-Z0-9范围内的字符）通过时，我们的目标就是：使用这些允许的符号，动态地“创造”出被禁止的字母和数字，进而拼接成可执行的函数名和参数。

2.1 字符生成的数学与逻辑基础

PHP中的字符串可以进行位运算（如^异或、|或、&与）和算术运算。两个字符串进行位运算时，PHP会将它们的ASCII码进行按位操作，然后返回结果对应的字符。这是所有技巧的基石。

例如，字符'a'的ASCII码是97（二进制01100001），字符'^'的ASCII码是94（二进制01011110）。如果我们能找到另外两个非字母数字字符，它们的ASCII码进行异或运算后恰好等于97，那么我们就“制造”出了字母'a'。

假设存在非字母数字字符 $A 和 $B。 如果 ord($A) ^ ord($B) == 97，那么 $A ^ $B 的结果就是字符串 “a”。

我们的任务就是找到足够多的这样的字符对，来拼出我们需要的整个字符串，比如“assert”、“system”或者“cat /etc/passwd”。

2.2 可用字符集的确定

首先，我们需要明确“非字母数字字符”的具体范围。通常，这包括：

标点符号：! “ # $ % & ‘ ( ) * + , – . / : ; < = > ? @ [ \ ] ^ _{ | } ~`
空格、制表符等空白字符。

其中，一些字符在URL或代码中具有特殊含义（如?、&、空格），需要特别注意转义。在实战中，我们通常会优先使用那些在字符串和URL中都比较“安静”的字符，比如^、|、~、+、.、[、]等。

3. 五大构造技巧深度拆解与实战

接下来，我们逐一剖析每种技巧的原理、实现方法和实战中的注意事项。

3.1 异或（XOR）构造法

异或运算的规则是“相同为0，不同为1”。在PHP中，$a ^ $b会对$a和$b字符串中的每个字符的ASCII码进行按位异或。

3.1.1 原理与手工推导

假设我们需要生成字符‘p’（ASCII 112，二进制01110000）。我们需要找到两个非字母数字字符，它们的二进制表示异或后等于01110000。

我们可以手工尝试，也可以写脚本暴力枚举。一个经典的例子是：

‘{’的ASCII是123 (01111011)
‘;’的ASCII是59 (00111011)
123 ^ 59 = 112(01111011 ^ 00111011 = 01110000)

因此，在PHP中执行echo ‘{‘ ^ ‘;’;就会输出小写字母p。

3.1.2 自动化生成Payload

手工计算效率太低。我们通常编写一个PHP脚本，遍历所有非字母数字字符，找出所有能异或出目标字符的组合。

<?php // 定义允许的非字母数字字符集 $allowed_chars = array_merge( range('!', '/'), // 标点符号段1 range(':', '@'), // 标点符号段2 range('[', '`'), // 标点符号段3 range('{', '~') // 标点符号段4 ); // 也可以直接定义一个字符串 // $allowed_chars = str_split('!\"#$%&\'()*+,-./:;<=>?@[\\]^_`{|}~'); $target = ‘assert’; // 我们要生成的字符串 for($i=0; $i<strlen($target); $i++){ $t = $target[$i]; echo “生成字符 ‘{$t}’ (ord: “.ord($t).”):\n”; $found = false; foreach($allowed_chars as $c1){ foreach($allowed_chars as $c2){ if((ord($c1) ^ ord($c2)) == ord($t)){ echo “ {$c1} (”.ord($c1).”) ^ {$c2} (”.ord($c2).”)\n”; $found = true; // break 2; // 找到一对就跳出内层循环 } } } if(!$found) echo “ 未找到组合！\n”; echo “\n”; } ?>

运行这个脚本，我们可以得到构造“assert”所需的一系列字符对。

3.1.3 实战拼接与执行

假设我们通过脚本找到了如下组合（示例，实际组合可能不同）：

a=‘{‘ ^ ‘;’
s=‘]‘ ^ ‘\’
s=‘]‘ ^ ‘\’(同上)
e=‘^‘ ^ ‘G’
r=‘(‘ ^ ‘Z’
t=‘/‘ ^ ‘M’

那么，我们的Payload构造如下：

<?php // 拼接出 ‘assert’ $func = (‘{‘^’;’) . (‘]‘^’\\’) . (‘]‘^’\\’) . (‘^‘^’G’) . (‘(‘^’Z’) . (‘/‘^’M’); // $func 现在就是字符串 ‘assert’ // 假设我们通过同样方式生成了参数 ‘phpinfo()’ $param = …; // 用异或法生成 ‘phpinfo()’ // 动态执行：assert(‘phpinfo()’) $func($param); ?>

在实际攻击中，我们需要将整个Payload编码在一行内，并确保用于异或的字符本身不会被过滤。例如，反斜杠\在字符串中需要转义，在URL中也要注意编码。

注意事项：异或运算的一个关键特性是可逆性：如果A ^ B = C，那么A ^ C = B且B ^ C = A。这在某些需要反向推导的场景下有用。另外，异或生成的结果字符可能仍然是字母或数字，但这没关系，因为最终参与运算的是我们输入的非字母数字字符，生成的字母数字字符是运算的结果，而非我们的直接输入。

3.2 或（OR）构造法

或运算的规则是“有1则1”。$a | $b会对字符的ASCII码进行按位或。与异或类似，我们也可以用它来生成目标字符。

3.2.1 与异或的差异

或运算的特性是，结果的每一位只会比原操作数的对应位更“大”（即1更多）。这意味着，要生成一个目标字符，参与运算的两个字符的ASCII码，在目标字符二进制位为1的位置上，至少有一个必须为1。

例如，生成字符‘a’(01100001)：

我们需要找到X和Y，使得X | Y = 01100001。
这要求对于‘a’中为1的位（第2、3、8位），X或Y至少有一个在该位上为1。
对于‘a’中为0的位（第1,4,5,6,7位），X和Y必须同时在该位上为0。

这个限制比异或更严格，导致可用的字符组合通常比异或少。但在某些特定过滤规则下（比如禁用了^但允许|），它就派上用场了。

3.2.2 实战脚本与技巧

生成脚本的逻辑与异或类似，只是将^运算符换成|。

foreach($allowed_chars as $c1){ foreach($allowed_chars as $c2){ if((ord($c1) | ord($c2)) == ord($t)){ // 找到组合 } } }

由于组合可能更少，有时我们需要三个或更多字符进行或运算来生成一个目标字符。例如(A | B | C) == target。这增加了Payload的复杂度，但理论上只要允许使用|和括号，仍然是可行的。

实操心得：在实战中，异或法的可用性和通用性远高于或法。因为或法的限制条件更苛刻，生成的Payload往往更长、更复杂。通常优先尝试异或，只有当异或符号^被过滤时，才考虑使用或法。

3.3 取反（NOT）构造法

取反运算~会将操作数的每一位取反（0变1，1变0）。这是构造无字母数字WebShell中最强大、最优雅的技巧之一。

3.3.1 原理：从取反到字符串

在PHP中，对一个字符串进行取反，会将其每个字符的ASCII码按位取反。例如：

~’a’等于chr(~ord(‘a’))=chr(~97)=chr(158)。158对应的扩展ASCII字符可能是一个不可见字符或特殊符号。

关键点在于：取反操作是可逆的。如果~X = Y，那么~~X = X，但更重要的是~Y = X。

所以，如果我们想得到字符串“assert”，我们可以先计算它的取反值：

$not_assert = ~’assert’; // 得到一个由非字母数字字符（很可能是不可见字符）组成的字符串

然后，在Payload中，我们只需要对这个取反后的字符串再进行一次取反，就能还原出“assert”：

$func = ~$not_assert; // $func 现在就是 ‘assert’

3.3.2 如何表示取反后的字符串？

问题来了：~’assert’的结果是一串乱码/不可见字符，我们如何在Payload中表示它？我们不能直接输入这些字符。

解决方案是：用可打印字符的取反来“间接”表示。

我们想得到$not_assert = ~’assert’。
我们找到一串可打印的非字母数字字符$X，使得~$X = ‘assert’。
那么，$X其实就是~’assert’。
因此，在Payload里，我们写入$func = ~$X;，那么$func就是assert。

所以，步骤是：计算目标字符串的取反值，然后将其作为字符串字面量写入Payload。这个取反值本身可能包含任何字符，我们需要确保它能安全地通过过滤（比如，它可能包含反斜杠、引号等，需要正确处理转义）。

3.3.3 实战生成与示例

我们可以用PHP命令行快速生成：

php -r “echo urlencode(~’system’);”

或者更直观地看其16进制表示：

php -r “echo bin2hex(~’system’);”

假设我们得到~’system’的十六进制是“8c869d9a9e8b”。那么，在Payload中，我们可以这样写（PHP 5+）：

<?php $func = ~”\x8c\x86\x9d\x9a\x9e\x8b”; // 注意双引号和\x转义 $func(‘whoami’); ?>

在PHP 7+中，支持更简洁的写法，直接对字符串进行取反操作：

<?php $func = (~”\x8c\x86\x9d\x9a\x9e\x8b”); $func(‘whoami’); ?>

但我们的输入被限制为非字母数字，所以\x8c这种形式（包含了字母x和数字8c）可能不被允许。这时，我们需要将\x8c这个字符串本身也用非字母数字构造出来！这听起来套娃了，但利用PHP的弱类型和字符串连接，我们可以做到。

一个更通用的方法是：直接使用取反值对应的原始二进制数据。但这在Web请求中难以直接传输。因此，取反法在完全无字母数字且无法传输不可见字符的限制下，通常需要结合其他技巧（比如上传文件）来使用，或者用于构造局部的短字符串。

核心技巧：取反法在代码审计和本地构造时极其有用，因为它能生成非常简洁的Payload。在远程注入时，如果对方过滤了~符号，此法则失效。另外，PHP 8.0+ 对取反运算作用于非字符串类型的行为有变化，需注意环境兼容性。

3.4 自增（Increment）构造法

这是PHP中一个非常有趣的特性，利用的是字符串的自增运算。

3.4.1 PHP的字符串自增规则

在PHP中，$a = ‘a’; $a++;的结果$a是‘b’。对于字母和数字，它遵循“进位”规则：

‘a’->‘b’-> … ->‘z’->‘aa’
‘A’->‘B’-> … ->‘Z’->‘AA’
‘0’->‘1’-> … ->‘9’->‘10’

最关键的一点：‘9’++不是‘10’吗？这里面包含了数字‘1’和‘0’。我们是从非字母数字字符开始的，如何得到第一个字母或数字呢？

3.4.2 从非字母数字到字母数字的“第一推动力”

PHP中，空字符串””的自增会产生什么呢？

$a = ”; $a++; // $a 现在是 ‘1’

看，我们得到了数字‘1’！而空字符串显然是非字母数字的（它什么都不是）。这样，我们就获得了第一个“种子”字符。

3.4.3 构造任意字符的步骤

一旦我们有了‘1’，就可以通过自增得到‘2’,‘3’, …‘9’,‘10’…。但是，我们如何得到字母呢？

观察ASCII表，数字‘9’的后面是‘:’，但‘:’不是字母。我们需要利用PHP另一个特性：当一个变量是数字字符串时，++操作是数学递增；当它变成非数字字符串时，++操作是字母递增。

我们可以这样做：

从空字符串得到‘1’。
通过多次自增得到‘9’。
‘9’++得到‘10’。这是一个数字字符串。
如果我们对‘10’进行(int)转换或者进行算术运算，再转换成字符串，这条路不好走。更巧妙的方法是：利用数组的转换。
在PHP中，(array)null或[]是一个空数组。(array)null不是字母数字。如果我们把空数组转换成字符串呢？
```
$a = (array)null; // $a 是空数组 $b = $a . ”; // 将数组转换为字符串，会得到 ‘Array’ // 现在 $b 是字符串 ‘Array’，它的第一个字符是 ‘A’！
```
但是，‘Array’包含了字母，这又是我们的输入。我们需要一个纯非字母数字的起点来生成‘A’。实际上，‘Array’是PHP内部转换的结果，我们不能直接输入‘Array’。

更可靠的方法是：从可用的非字母数字字符中，找到那些通过自增能变成字母或数字的。

例如，在PHP中：

‘/‘的下一个字符是‘0’！因为ASCII码中，‘/‘是47，‘0’是48。
```
$a = ‘/‘; echo ++$a; // 输出 ‘0’
```
同理，‘@’的下一个字符是‘A’（ASCII 64 -> 65）。
‘’(反引号) 的下一个字符是‘a’`（ASCII 96 -> 97）。

3.4.4 实战构造链

因此，我们可以构建一个构造链：

使用允许的字符‘/‘，通过自增得到‘0’。
使用‘0’自增得到‘1’,‘2’, …‘9’。
使用允许的字符‘@’，通过自增得到‘A’。
使用‘A’自增得到‘B’, …‘Z’。
使用允许的字符‘’(反引号)，通过自增得到‘a’`。
使用‘a’自增得到‘b’, …‘z’。

这样，我们就能构造出所有字母和数字。然后，再将这些字符拼接成我们需要的函数名和参数。

示例：构造“phpinfo”

<?php // 假设我们只能输入非字母数字，但可以执行代码 $_ = ‘/‘; // $_ 是 ‘/‘ $_++; // $_ 现在是 ‘0’ $__ = ‘@’; // $__ 是 ‘@’ $__++; // $__ 现在是 ‘A’ $___ = ‘`’; // $___ 是 ‘`’ (反引号) $___++; // $___ 现在是 ‘a’ // 现在我们有 ‘0’, ‘A’, ‘a’ 作为种子 // 通过多次自增和拼接，可以构造出任意字符串，过程略复杂，但逻辑可行 // 例如，从 ‘a’ 自增4次得到 ‘e’ $____ = $___; // ‘a’ $____++; // ‘b’ $____++; // ‘c’ $____++; // ‘d’ $____++; // ‘e’ // 以此类推，拼出 ‘phpinfo’ ?>

踩坑记录：自增法构造的Payload通常非常冗长，因为需要大量变量和自增操作来生成每一个字符。在真实的远程代码执行漏洞利用中，可能会受到URL长度、参数数量等限制。此外，自增操作符++本身也可能被过滤。它的优势在于思路清奇，能绕过一些对字符串拼接和位运算有特殊过滤的规则。

3.5 临时文件上传构造法

当前面所有基于字符运算的方法都因为过滤过于严格（比如连^|~+.这些符号都禁了）而失效时，临时文件上传提供了一条“曲线救国”的路径。其核心思想是：虽然我无法直接在你的代码里写出字母数字，但我可以让你帮我生成一个包含字母数字WebShell代码的文件，然后去包含执行它。

3.5.1 原理与利用条件

这种方法通常需要利用目标系统的两个特性：

文件上传点：哪怕是一个只能上传图片、且对内容做了检查的上传功能。
文件包含漏洞（LFI）：或者任何能包含、执行本地文件的功能（如include,require,file_get_contents结合php://input等）。

如果两者同时存在，就可能构成“文件上传+本地文件包含”的组合漏洞，最终获取代码执行。

3.5.2 无字母数字的上传绕过

即使上传功能检查文件内容，不允许出现<?php等标签，我们依然可以尝试上传一个内容为纯非字母数字字符的文件。如何让这个文件变成WebShell？我们需要让服务器错误地解析它。

利用解析漏洞：例如，古老的IIS 6.0目录解析漏洞（*.asp;.jpg），Apache的php3,phtml等多后缀解析，Nginx的畸形解析（如test.jpg/.php）等。这些漏洞允许非.php后缀的文件被当作PHP执行。
利用.htaccess或user.ini：如果能上传这些配置文件，可以重写解析规则，使图片文件被当作PHP执行。
利用包含漏洞：这是更通用的方法。我们上传一个内容为WebShell代码的图片（shell.jpg），然后利用文件包含漏洞去包含这个图片文件：include(‘/path/to/uploads/shell.jpg’);。只要图片文件中的PHP代码没有被<?php … ?>包裹，它就不会被图片检查机制拦截，但在被include时，其中的代码会被执行。

3.5.3 构造无字母数字的包含Payload

现在问题回到原点：我们如何用无字母数字的Payload，去实现这个包含操作？假设我们有一个本地文件包含点，参数是?file=xxx。

我们需要构造file参数的值为一个路径，比如‘/var/www/html/uploads/shell.jpg’。这个路径里充满了字母数字。

这时，我们可以结合前面提到的取反法。因为路径字符串是固定的，我们可以预先计算其取反值。

php -r “echo urlencode(~’/var/www/html/uploads/shell.jpg’);”

假设得到“%8F%97%8F%96%91%99%90%9B%9A%8D%8C%9B%9E%92%9B%9C%8F%96%91%99%90”之类的形式（这里只是示意）。

那么，我们的Payload可以是：

?file=<?=(~%8F%97%8F%96%91%99%90%9B%9A%8D%8C%9B%9E%92%9B%9C%8F%96%91%99%90)?>

如果服务器开启了短标签<?=，且~运算符未被过滤，这个Payload会先对那串乱码取反，还原出路径字符串，然后传递给包含函数。

3.5.4 高级技巧：利用PHP协议

如果包含点支持PHP包装器（如php://input,php://filter），我们甚至可能不需要上传文件。

php://input可以读取POST请求体作为文件内容。我们可以POST一段WebShell代码。
php://filter的convert.base64-decode资源可以解码Base64数据。我们可以将WebShell代码Base64编码（这样就只有字母数字和+/=），然后利用过滤器的解码功能还原并执行。

但Base64编码包含了字母数字，我们需要用无字母数字的方式构造“php://filter/convert.base64-decode/resource=data://text/plain;base64,PD9waHAgZXZhbCgkX1BPU1RbY21kXSk7Pz4=”这样的字符串。这又回到了字符串构造的问题，但目标字符串更长更复杂。通常，这会和取反法结合，生成一个巨大的取反后Payload。

实战要点：临时文件上传法是一种“降维打击”，它跳出了在单个参数内构造代码的思维定式。其成功率高度依赖于目标环境是否存在文件上传和文件包含这两个漏洞点。在CTF比赛中，这通常是最后一招；在真实渗透中，则需要细致的目录扫描和功能点测试来发现机会。

4. 组合拳与高级利用技巧

在实际绕过中，很少只使用单一技术。WAF和过滤规则往往是多层的，我们需要灵活组合上述技巧。

4.1 混合编码与多重变换

例如，可以先使用自增法生成几个关键字符（如.、/），再结合这些字符和取反法来构造更复杂的字符串。或者，用异或法生成“system”函数名，用取反法生成命令参数“ls -la”。

4.2 利用PHP动态函数特性

PHP中，$func($param)这种写法允许动态调用函数。我们构造的重点就是$func和$param这两个字符串。有时，$param可以直接从已有的超全局变量中获取，如$_GET[‘cmd’]，这样我们只需要构造函数名即可，难度降低。

4.3 无参数RCE的衔接

在一些极限情况下，漏洞点可能不允许传递任何参数。这就需要用到“无参数RCE”的技巧，例如利用getallheaders(),get_defined_vars(),session_id()等函数来获取输入，再利用array_reverse(),current(),end()等函数进行数据提取。我们可以用无字母数字技术来构造这些函数名，从而实现完整的攻击链。

4.4 自动化工具与Payload生成

手工构造这些Payload极其繁琐。安全研究人员开发了许多自动化工具，例如：

PHPGGC：虽然主要用于生成反序列化链，但其思想类似。
CTF中常见的Web题目Payload生成脚本：很多CTF选手会编写自己的Python或PHP脚本，根据允许的字符集，自动搜索异或、或、取反的组合来生成目标字符串。
在线工具：一些网络安全网站提供简单的字符异或计算器。

但作为研究者，理解其原理远比会使用工具更重要。因为真实的过滤规则千变万化，工具可能无法直接适应，需要你手动调整算法和字符集。

5. 防御视角与排查建议

了解了攻击手法，才能更好地进行防御。从防御者角度看，如何防范此类无字母数字WebShell？

5.1 输入过滤的误区

单纯过滤字母数字是无效的，如上所述，攻击者可以轻松绕过。有效的过滤应该是白名单机制，只允许业务逻辑必需的、最小集的字符通过。例如，如果一个输入框只期待数字，那就只允许0-9。

5.2 禁用危险函数

这是治本的方法之一。在php.ini中，通过disable_functions指令禁用eval,assert,system,exec,shell_exec,passthru,popen,proc_open等函数，可以极大增加攻击者利用的难度，即使他构造出了函数名也无法执行。