phpinfo为关键的getshell方法

已于 2022-11-18 10:36:54 修改
阅读量1k 收藏
点赞数
分类专栏: getshell方法 文章标签: 安全
于 2022-11-18 10:33:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55772907/article/details/127915896
版权

漏洞实例,vulhub的文件包含漏洞(利用phpinfo)

(162条消息) PHP文件包含漏洞(利用phpinfo)_Li-D的博客-CSDN博客_php文件包含漏洞

(162条消息) PHP文件包含漏洞利用phpinfo写入webshell_ADummy_的博客-CSDN博客

(162条消息) PHP文件包含漏洞(利用phpinfo)_小 白 萝 卜的博客-CSDN博客

vulhub/README.zh-cn.md at master · vulhub/vulhub (github.com)

利用方法简述

在给PHP发送POST数据包时,如果数据包里包含文件区块,无论你访问的代码中有没有处理文件上传的逻辑,PHP都会将这个文件保存成一个临时文件(通常是/tmp/php[6个随机字符]),文件名可以在$_FILES变量中找到。这个临时文件,在请求结束后就会被删除。

同时,因为phpinfo页面会将当前请求上下文中所有变量都打印出来,所以我们如果向phpinfo页面发送包含文件区块的数据包,则即可在返回包里找到$_FILES变量的内容,自然也包含临时文件名(关键因素)。

在文件包含漏洞找不到可利用的文件时,即可利用这个方法,找到临时文件名,然后包含它。

但文件包含漏洞和phpinfo页面通常是两个页面,理论上我们需要先发送数据包给phpinfo页面,然后从返回页面中匹配出临时文件名,再将这个文件名发送给文件包含漏洞页面,进行getshell。在第一个请求结束时,临时文件就被删除了,第二个请求自然也就无法进行包含。

这个时候就需要用到条件竞争,具体流程如下:

  1. 发送包含了webshell的上传数据包给phpinfo页面,这个数据包的header、get等位置需要塞满垃圾数据
  2. 因为phpinfo页面会将所有数据都打印出来,1中的垃圾数据会将整个phpinfo页面撑得非常大
  3. php默认的输出缓冲区大小为4096,可以理解为php每次返回4096个字节给socket连接
  4. 所以,我们直接操作原生socket,每次读取4096个字节。只要读取到的字符里包含临时文件名,就立即发送第二个数据包
  5. 此时,第一个数据包的socket连接实际上还没结束,因为php还在继续每次输出4096个字节,所以临时文件此时还没有删除
  6. 利用这个时间差,第二个数据包,也就是文件包含漏洞的利用,即可成功包含临时文件,最终getshell

原理是组合漏洞:

在给PHP发送POST数据包时,如果数据包里包含文件区块,无论你访问的代码中有没有处理文件上传的逻辑,PHP都会将这个文件保存成一个临时文件(通常是/tmp/php[6个随机字符]),文件名可以在$_FILES变量中找到。这个临时文件,在请求结束后就会被删除。

不管你接受与否,php都会存储这个缓存。因此我们发送大额数据包,导致缓存来不及删除,接着再去找到一个文件包含漏洞,然后包含这个临时的缓存文件,就这一瞬间给包含掉,本身而言不是phpinfo的漏洞。

个人觉得其他php文件也是可以达到同样的要求,区别就在于:phpinfo会打印$_FILES的内容,让我们知道临时文件名的路径,理论而言这样的组合型漏洞是成立的。

诡墨佯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
discuz-getshell-auto-method2:Discuz 全自动GetShell 方法#2
05-11
Discuz 全自动 GetShell方法比写 config_ucenter.php 更加稳定,而且不易出错用法打开 dzhack.php, 找到$webshell = '<?php phpinfo(); ?>';list ($status, $data) = $dz->hack ( 'http://ubuntu64/dz/', 'K...
phpinfo函数_文件包含之通过phpinfo去Getshell
weixin_39528994的博客
12-04 1767
1.phpinfo信息利用phpinfo文件泄露一直被大家所忽视,但其实phpinfo可以为攻击渗透测试人员提供很多的信息。1.system提供服务器所在的操作系统的信息。2.真实ip知道真实ip的我们可以省去cdn带来的各种困扰。我们同时也可以端口旁站一顿操作。3.web根目录网站绝对路径对渗透测试相当的有用,当你找到SQL注入点时,要上传木马的时候就需要知道网站的绝对路径才可以获取w...
phpinfo+文件包含临时文件getshell
milu_Sec的博客
02-16 984
当我们发送POST数据包时,如果数据包里包含文件区块,无论访问的php文件中有没有处理文件上传的逻辑,PHP都会将这个文件保存成一个临时文件,如果这个临时文件还没有被移动或重命名,在请求结束后临时文件就会被删除。那么,当我们发送第一个数据包以后立刻发送后面的数据包,这时php还在向我们传输第一次的那4096个字节,也就是说第一次产生的临时文件还存在,我们就可以利用这个时间差来包含临时文件达到getshell的目的。用现成的工具(地址如下)利用一下,记得把里面的phpinfo和文件包含的地址换成对应的。
phpinfo包含临时文件Getshell全过程及源码
记录学习,一起进步
03-04 2238
phpinfo包含临时文件Getshell全过程及源码
PHP爆绝对路径方法
Azjj
10-06 1058
1、单引号爆路径 说明: 直接在URL后面加单引号,要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。 www.xxx.com/news.php?id=149′ 2、错误参数值爆路径 说明: 将要提交的参数值改成错误值,比如-1。-99999单引号被过滤时不妨试试。 www.xxx.com/researcharchive.php?id=-1 3、Google爆路径 说明: 结合关键字和site语法搜索出错页面的网页快照,常见关键字有warning和fatal error。注意,如果目标站点
PHP LFI 利用临时文件 Getshell 姿势
qq_45521281的博客
06-02 2608
文章目录前言PHP LFI临时文件全局变量存储目录命名规则Windows Temporary FilePHPINFO特性测试代码漏洞分析漏洞利用php7 Segment Fault利用条件漏洞分析代码环境漏洞利用 前言 最近整理PHP文件包含漏洞姿势的时候,发现一些比较好用的姿势关于本地文件包含漏洞可以利用临时文件包含恶意代码拿到Webshell的一些奇技淫巧,于是打算详细整理一下。 PHP LFI PHP LFI本地文件包含漏洞主要是包含本地服务器上存储的一些文件,例如session文件、日志文件、临时文
php写入配置文件getshell,配置文件写入问题
weixin_39766867的博客
03-17 217
前言:最近开始学习代码审计,因为某种原因,容易健忘,所以,打算记录在简书,一点点的去记录自己在审计复现的日常,很多审计get到的姿势,都是在P神的小蜜圈里,还是挺爽的,在里面的每一个评论都可以让你少走弯路,所以,先在这里说明下来源出处。配置文件getshell一个经典的问题,很多getshell,都是在后台中,闭合+注释的方式,写入自己的shelleg:$website='';//我们写入:a';...
linux 查看php info,Linux下用shell命令查看 phpinfo | Soo Smart!
weixin_35676939的博客
03-10 1740
常常写一个测试页面用来查看php的配置信息。通过shell也可以快速查看phpinfo.比如查看ssl相关的信息$ echo '' | php 2>&1 |grep -i ssl这样就可以列出仅仅ssl相关的设置。Registered Stream Socket Transports => tcp, udp, unix, udg, ssl, sslv3, sslv2, tlsS...
linux(centos5.5)/windows下nginx开启phpinfo模式功能的配置方法分享
09-30
某站点用到结合phpinfo功能的urlrewrite,在nginx中需要在nginx.conf文件中进行配置才可支持phpinfo
phpinfo 系统查看参数函数代码
10-29
并根据自身的理解做了很多修改和优化,就当前而言,这是探测信息最全面的PHP探针了!
phph_info_phpinfo_
10-03
phpinfo ok
PHP提示Warning:phpinfo() has been disabled函数禁用的解决方法
10-25
主要介绍了PHP提示Warning:phpinfo() has been disabled函数禁用的解决方法,涉及针对配置文件中禁用函数的修改技巧,非常具有实用价值,需要的朋友可以参考下
Linux下用shell命令查看 phpinfo
iteye_11190的博客
06-20 1358
$ echo '&lt;?php phpinfo(); ?&gt;' | php 2&gt;&amp;1 |grep -i ssl   Registered Stream Socket Transports =&gt; tcp, udp, unix, udg, ssl, sslv3, sslv2, tlsSSL =&gt; YesSSL Version =&gt; OpenSSL/0.9....
php版本%3e=5.6,ThinkPHP5.0版本 远程命令执行漏洞GetShell
weixin_42303112的博客
03-19 222
https://blog.csdn.net/Fly_hps/article/details/84954664漏洞概况ThinkPHP是一款国内流行的开源PHP框架,近日被爆出存在可能的远程代码执行漏洞,攻击者可向缓存文件内写入PHP代码,导致远程代码执行。虽然该漏洞利用需要有几个前提条件,但鉴于国内使用ThinkPHP框架的站点数量之多,该漏洞还是存在一定的影响范围。由于框架对控制器名没有进行足够...
php网站怎么拿shell,phpmyadmin两种拿shell
weixin_39575758的博客
03-17 198
简介phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页...
php getshell漏洞,74cms前台某处Getshell漏洞(SSTI)
weixin_28406969的博客
03-17 464
这是一个服务端模板注入漏洞。Application/Home/Controller/MController.class.phpnamespace Home\Controller;use Common\Controller\FrontendController;class MController extends FrontendController{public function index(){i...
phpmyadmin Getshell 思路
ITgougou_的博客
11-14 437
前几天遇到一个phpmyadmin,可惜在网上也没找到绝对路径,也就没办法上传木马getshell,这里梳理一下phpmyadmin getshell思路。 这里getshell必须要知道网站的绝对路径,这也是信息收集的重要部分 前提:php爆绝对路径 单引号爆路径 直接在URL后面加单引号,要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。 www.xxx.com/news.php?id=1′ 错误参数值爆路径 将要提交的参数值改成错误值,比如-1。-99999单引号被.
安全配置核查关注点
最新发布
m0_62207482的博客
05-06 218
防火墙对UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置防火墙,只允许特定主机访问。- 对于VPN用户,必须按照其访问权限不同而进行分组,并在访问控制规则中对该组的访问权限进行严格限制,检查口令生存周期要求。- 配置访问控制规则,拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。- 查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹。- 检查是否配置NFS服务限制检查。
原生IP和住宅IP有什么区别?
ALEX_Proxy的博客
04-28 1112
原生IP以其高稳定性、高识别度和专业的应用场景为主要特点,而住宅IP则以其广泛的分布、较低的限制和友好的爬虫采集环境为优势。从稳定性与安全性角度来看,原生IP由于是直接分配的,其稳定性通常较高,而住宅IP可能会受到用户网络环境和ISP政策的影响,稳定性相对较差。在安全性方面,原生IP由于其高识别度,更容易受到攻击,而住宅IP由于分布广泛,攻击者难以定位,因此安全性相对较好。当然,随着网络技术的不断发展和应用场景的不断拓展,原生IP和住宅IP的定义、特性和应用场景也可能会有所变化。编辑:xyukjds。
getshell脚本
09-09
getshell脚本是用于在目标网站上植入恶意代码或命令执行的脚本。通过使用有效的用户名和密码组合,getshell脚本可以自动登录到目标网站的后台,并替换cookies以保持登录状态。一种常见的getshell脚本演示了如何使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值