примеры 0x01
Вот пример Арнем месяц название
советы: использование ssrf, суслик игра сеть
0x02 отправил код
<?php
highlight_file(__FILE__);
$x = $_GET['x'];
$pos = strpos($x,"php");
if($pos){
exit("denied");
}
$ch = curl_init();
curl_setopt($ch,CURLOPT_URL,"$x");
curl_setopt($ch,CURLOPT_RETURNTRANSFER,true);
$result = curl_exec($ch);
echo $result;
анализ 0x03
Во- первых, x
мы можем контролировать,
X Многоразовый соглашение о gopher
, dict
, http
, https
, file
и другие
file
протоколы могут быть использованы для просмотра файла
dict
протокола может быть использован , чтобы шпионить за порт
gopher
поддержки протокола GET&POST
запроса, обычно используемый в сети атаки ftp
, redis
, telnet
, smtp
и другие услуги, вы можете также использовать gopher
протокол для доступа redis
рикошетомshell
Во-первых, мы читаем файлы с помощью файла
Первый сценарий сканирования каталога , чтобы получить flag.php
.
В целом, мы можем также прочитать /etc/hosts
, /etc/passwd
, ~/.bash_history
и другие просмотра файлов след
Но код имеет ограниченную StrPos (с использованием 2570% байпас)
Наконец, мы читаем /var/www/html/flag.php
подсказку , когда ,
чтобы продолжить чтение , /etc/hosts
чтобы получить сетевой адрес
здесь мы получаем сегмент сети, мы можем продолжить сканирование, и обнаружили , что только 172.18.0.1|2|3
вы можете получить доступ.
http://101.71.29.5:10012/?x=http://172.18.0.2
Возвращает результаты , как показано ниже, есть LFI
уязвимые места .
Это только 80
результат порта, то мы смотрим на открытии других портов, мы можем видеть , что 25
порт открыт также и 25
есть соответствующее smtp
обслуживание.
Таким образом , вы можете думать, чтобы использовать gopher
протокол , чтобы играть smtp
, а затем в сочетании с ранее обнаруженных LFI
уязвимостей, приходят к идее
использования суслик бой SMTP, оставьте слово троянского в лог - файл, а затем использовать файл журнала для LFI содержит webshell
ясное мышление после того, как они начинают осуществляется, сначала gopherus
генерации сценария payload
, gopherus
адрес: https://github.com/tarunkant/Gopherus
, который имеет подробное использование.
127.0.0.1:25 измененный адрес в сети, то в кодировке URL отправлена в прошлом
Затем мы используем содержим файлы журналов ,
поэтому мы можем теперь перейти к smtp
местоположению файла журнала, и , вообще говоря , linux
лог - файл сообщение путь
- / Var / Журнал / MAILLOG
- /var/log/mail.log
- / Вар / ADM / MAILLOG
- /var/adm/syslog/mail.log
Затем мы видим прямое соединение флаг чопперы
резюме 0x04
1, https://bugs.php.net Это веб - сайт , который содержит PHP уязвимость
例如我们可以利用谷歌语法搜索
site: [https://bugs.php.net](https://bugs.php.net) strpos
2, как правило, ssrf первого узла обнаружения и обнаружение порты, найти соответствующую услугу, а затем с помощью соответствующей полезной нагрузки
0x05 ссылка
Повторяющаяся тема при закрытой среде, поэтому прямое использование рецензии магистра другая картина, ссылка размещена здесь, простите меня!
ссылка