Calendula's blog.

Calendula's blog.

前进的路上总是孤独的

通过文件自包含getshell
我们之前了解过php7的特性,能够通过上传文件在tmp目录生成临时的缓存文件,那么如果在上传的过程中,让php崩溃了,来不及删除这个缓存文件,就能让这个缓存文件一直留在tmp目录下,并且内容是上传文件的内容。那么这个时候如果存在一个文件包含的漏洞,就能达到getshell的目的。 我们的手段是文件自包含,让php崩溃,上传文件的地址是文件自包含的地址,就能达到上传文件的过程中让php崩溃的方法。 下面我用自己搭建的环境来模拟下。 php7+apache2主文件index.php 内容:123<?php include($_GET['file']);?>...
php7特性文件包含tmp缓存文件
这是一个php7的特性,上传文件后会在tmp目录下生成一个临时的缓存文件,环境如下php7+apache2 目录 dir.php123456<?php$a = @$_GET['dir'];if(!$a){$a = '/tmp';}var_dump(scandir($a)); lfi.php12345678<?php$a = @$_GET['file'];echo 'include $_GET[\'file\']';if (strpos($a,'f...
udf提权实战
查看cms版本发现是beescms 想起来以前打awd的时候用的就是这个cms,有一个前台getshell的方法访问后台,成功登陆传马发现没法执行命令 随便翻了下目录好像还是个群站 要进行udf提权必须找出mysql的root密码,这里翻文件找出连接数据库的配置文件查看mysql文件的路径这个站其实有点怪的,正常udf提权都是如果版本是5.1版本以下,调用的是系统目录(c:\windows\system32)中的dll文件并执行。5.1版本以上包括5.1 调用的是mysql安装目录中的lib\plugin中的dll文件并执行。这个站点的版本是5.1以上,但是调用的还是system3...
linux绕过安全函数执行命令
拿到目标shell后发现不能正常的执行命令,我推测是禁用了函数,开启了安全模式。这里看了下能正常的执行phpinfo 搜索disable_functions查看禁用函数发现禁用的函数比较多,并且无法执行命令这时候我们可以使用LD_PRELOAD劫持绕过安全模式https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD 这里我使用了这两个文件把这两个文件上传,我把php文件重名名为hack.php访问网址可以执行命令,下一步反弹下nc 用普通的nc是弹不出来的,正好测试了下目标机器是存在python的,这里用py...
文件包含session详解
先了解下关于session的知识 session.upload_progress.enabled这个参数在php.ini中默认开启,需要手动设置为OFF,如果不是OFF,就会在上传的过程中生成上传进度文件,他的存储路径可以在phpinfo中获取到默认文件地址:/var/lib/php/sess_{yout_php_session_id} Session 上传进度:https://www.php.net/manual/zh/session.upload-progress.php在其中有个例子说道:如果你在php.ini中启用了上传进度,那么你就可以使用这种方法 <form encty...
Discuz 7.x 6.x 全局变量防御绕过导致代码执行漏洞利用,复现
漏洞概述:由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞。 版本为7.x 6.x 随便访问一篇帖子,在cookie中带入GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();成功执行phpinfo 试一下写马:payload:GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE...
avatar
Calendula
我追求的并不只是一个结果,一旦只追求结果,人就容易想方设法抄近路,在抄近路的过程中,人又容易迷失真相,做事的干劲也会逐渐消磨殆尽。
FRIENDS
shana htf Se7en