1.简介

在PHP文件包含漏洞中,当我们找不到用于触发RCE的有效文件时,如果存在PHPINFO(它可以告诉我们临时文件的随机生成的文件名及其位置),我们可能可以包含一个临时文件来利用它。

当向PHP发送POST请求并且请求包含一个文件块时,PHP会将所发送的文件保存到一个临时文件中(通常是/tmp/PHP[6个随机数字]),文件名可以在$u FILES变量中找到。请求结束后将删除此临时文件。

同时,PHPINFO页面打印上下文中的所有变量,包括$u文件。因此,如果我们将POST请求发送到PHPINFO页面,则可以在响应中找到临时文件的名称。

这样,LFI漏洞就可以升级为RCE,而不需要存在可用的本地文件。

文件包含和PHPINFO通常位于不同的网页中。理论上,我们需要在PHPINFO页面的文件上传请求的响应中检索文件名后,将文件名发送到文件包含页面。但是,在第一个请求完成后,文件将从磁盘中删除,因此我们需要赢得比赛。

2.步骤:

1.将文件上载请求发送到带有页眉的PHPINFO页,并获取包含大量垃圾数据的字段。

2.响应内容将是巨大的,因为PHPINFO将打印出所有数据。

3.PHP的默认输出缓冲区大小为4096字节。可以理解为PHP在套接字连接期间每次返回4096字节。

4.所以我们使用原始套接字来实现我们的目标。每次我们读取4096字节并在得到文件名后将其发送到LFI页面。

5.当我们得到文件名时,第一个套接字连接还没有结束,这意味着临时文件仍然存在。

6通过利用时间间隔,可以包含并执行临时文件。

3.测试反弹交互shell

按照上面的方法可以写入一个php 但是感觉有些不方便 最好是直接弹一个交互shell

准备一个文件包含漏洞的环境。

网站存在phpinfo.php

修改脚本

修改包含文件页面和ip地址

kali 上监听 nc -lvnp 8080

执行exp

得到交互shell

4.脚本下载

原版脚本

修改后的脚本

原创文章,作者:moonsec,如若转载,请注明出处:https://www.moonsec.com/archives/1257

php反弹,【原创】文件包含结合phpinfo反弹交互shell相关推荐

  1. 文件包含漏洞总结都在这里了

    一.文件包含与伪协议 什么是文件包含 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入.未经检验,文本当代码使用. 环境要求 ...

  2. 渗透测试练习No.18 利用phpinfo+LFI(文件包含漏洞)打进主机

    本文首发于微信公众号"伏波路上学安全",喜欢的小伙伴们请关注公众号持续获取新的文章. 声明:文章来自作者日常学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果 ...

  3. phpinfo.php ctf,这你不是你所常见的PHP文件包含漏洞(利用phpinfo)

    0x01 前言 看到文件包含(+phpinfo ) 的问题,在上次众测中出现此题目,如果没打过CTF,可能真的很少见到这种问题,当然作为小白的我,也是很少遇到,毕竟都是第一次,那就来总结一波经验和操作 ...

  4. PHP文件包含漏洞(利用phpinfo)复现

    漏洞简介: PHP文件包含漏洞中,如果找不到可以包含的文件,我们可以通过包含临时文件的方法来拿到权限.因为临时文件名是随机的,如果目标网站上存在phpinfo,则可以通过phpinfo来获取临时文件名 ...

  5. PHP文件包含漏洞(利用phpinfo)

    漏洞描述 文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入. PHP中引发文件包含漏洞的通 ...

  6. php文件包含phpinfo怎么输出,文件包含之通过phpinfo去Getshell

    1.phpinfo信息利用 phpinfo文件泄露一直被大家所忽视,但其实phpinfo可以为攻击渗透测试人员提供很多的信息. 1.system 提供服务器所在的操作系统的信息. 2.真实ip 知道真 ...

  7. php通用漏洞phpinfo,php文件包含漏洞(利用phpinfo)复现

    利用docker复现该漏洞,访问http://192.168.80.156:8080/phpinfo.php,可以看到页面出现phpinfo页面 再访问http://192.168.80.156:80 ...

  8. 【代码审计】PHP文件包含漏洞利用总结

    0x01 概述 PHP文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而导致意外的文件泄露甚至恶意的代码注入.涉及文件包含漏洞的四个函数如下: includ ...

  9. tomcat ajp协议安全限制绕过漏洞_Apache Tomcat文件包含漏洞(CVE20201938)复现

    一.漏洞背景2020年02月20日,国家信息安全漏洞共享平台(CNVD)发布了关于Apache Tomcat文件包含漏洞(CVE-2020-1938/CNVD-2020-10487)的安全公告.Tom ...

最新文章

  1. 行人检测与重识别!SOTA算法
  2. FineReport——获取控件值和单元格值
  3. S3C2410 bootloader ----VIVI阅读笔记 (转)下
  4. 快手春晚10亿元红包玩法来了:最高得2020元现金
  5. 实例教程三:文件的保存与读取
  6. 如何快速入手 Shell 脚本编程
  7. jdk Collections类
  8. Atitit 爬虫发展历史 在互联网发展初期,网站相对较少,信息查找比较容易。然而伴随互联网爆炸性的发展,普通网络用户想找到所需的资料简直如同大海捞针,这时为满足大众信息检索需求的专业搜索网站便应运
  9. android手机打不开网页视频播放器,手机看网页视频打不开解决方法
  10. sis地址发布器_【一起练翻译-9.1】关于提词器、真实、川普和演讲
  11. win8改win7 bios设置方法
  12. 微软系统授权 服务器虚拟化,微软远程桌面服务授权规则及建议
  13. memcached启动脚本
  14. 基于忆阻器的神经网络应用研究!道翰天琼认知智能机器人平台API接口大脑为您揭秘。
  15. 关于BAPI 的作用
  16. E-Mobile 后台管理系统漏洞
  17. 清除FTP登录的用户名密码
  18. 循环机换变速箱油教程_标致308循环机更换自动变速箱油图文教程
  19. 【算法】欧拉函数公式证明
  20. Mandatory condition is missing

热门文章

  1. 里氏替换原则——面向对象设计原则
  2. 分享内容到微博、QQ空间、人人网、开心网等社区
  3. 中国标准时间字符串转LocalDateTime
  4. VScode远程调试树莓派donkeycar项目
  5. CRC循环冗余校验原理
  6. java实现冗余校验_Java中循环冗余校验(CRC32)的实现
  7. linux mint17连接wifi,Linux Mint 17 + 小米WIFI创建手机热点
  8. 【Leetcode】552. 学生出勤记录 II
  9. 前端入门学习笔记六十四
  10. 进制转换(数据结构实验报告)