lfi phpinfo 本是古典 何须时尚 2023-08-17 17:10 59阅读 0赞 * 利用条件 * 存在lfi漏洞 * 存在可访问phpinfo网页 * 利用原理 * php会把post请求, 存储在临时文件中, 并在请求结束后删除临时文件 * phpinfo中会显示\_FILE变量, 其中会显示临时文件路径 * 所以可以通过发送数据量大的请求, 拖延php删除临时文件的时间, 同时查看\_FILE得到临时文件位置, 并使用lfi漏洞对其进行包含从而执行 * 利用步骤 1. 发送post请求到phpinfo, post的内容为一个创建shell文件的payload 2. 通过有lfi漏洞的页面包含payload, payload被执行然后创建shell文件 3. 通过lfi页面包含shell文件, 并传参, 从而进行利用 * 环境部署 * [https://github.com/dhgdhg/LFI-With-PHPInfo-Assitance][https_github.com_dhgdhg_LFI-With-PHPInfo-Assitance] * 测试结果 * ![1043898-20190929145648321-1378560911.png][] * ![1043898-20190929145556471-1449404554.png][] * 参考: [https://dl.packetstormsecurity.net/papers/general/LFI\_With\_PHPInfo\_Assitance.pdf][https_dl.packetstormsecurity.net_papers_general_LFI_With_PHPInfo_Assitance.pdf] 转载于:https://www.cnblogs.com/edhg/p/11607901.html [https_github.com_dhgdhg_LFI-With-PHPInfo-Assitance]: https://github.com/dhgdhg/LFI-With-PHPInfo-Assitance [1043898-20190929145648321-1378560911.png]: /images/20230808/04eeaa01ec684b36b2b5a21566655d82.png [1043898-20190929145556471-1449404554.png]: /images/20230808/840ec3744fb141ac8e531247ed80cf09.png [https_dl.packetstormsecurity.net_papers_general_LFI_With_PHPInfo_Assitance.pdf]: https://dl.packetstormsecurity.net/papers/general/LFI_With_PHPInfo_Assitance.pdf
相关 CTFHub | PHPINFO 0x00 前言 CTFHub 专注网络安全、信息安全、白帽子技术的在线学习,实训平台。提供优质的赛事及学习服务,拥有完善的题目环境及配套 writeup ,降低 CTF 柔情只为你懂/ 2024年04月03日 08:22/ 0 赞/ 40 阅读
相关 phpinfo.php渗透 如何获取phpinfo页面phpinfo.php渗透 1.1 目录扫描phpinfo.php渗透 1|2phpinfo.php渗透:gookle hacking in 痛定思痛。/ 2023年09月23日 22:44/ 0 赞/ 18 阅读
相关 lfi phpinfo 利用条件 存在lfi漏洞 存在可访问phpinfo网页 利用原理 php会把post请求, 存储在临时 本是古典 何须时尚/ 2023年08月17日 17:10/ 0 赞/ 60 阅读
相关 php文件包含phpinfo怎么输出,文件包含之通过phpinfo去Getshell 1.phpinfo信息利用 phpinfo文件泄露一直被大家所忽视,但其实phpinfo可以为攻击渗透测试人员提供很多的信息。 1.system ![a85a334faa 青旅半醒/ 2023年01月17日 08:21/ 0 赞/ 77 阅读
相关 CTF(phpinfo)---使用封装协议读取PHP协议 文章目录 知识点---文件包含---使用php封装协议 方法---使用封装协议读取PHP文件 访 朴灿烈づ我的快乐病毒、/ 2022年12月28日 05:28/ 0 赞/ 124 阅读
相关 关于出现php -m和phpinfo不一致的问题 文章转载自[http://www.hishenyi.com/archives/1095][http_www.hishenyi.com_archives_1095] 昨天有个学 梦里梦外;/ 2022年06月17日 01:08/ 0 赞/ 102 阅读
相关 【CTF】LFI漏洞总结(PHP本地文件包含漏洞) 学习链接: [https://www.cnblogs.com/wh4am1/p/6542398.html][https_www.cnblogs.com_wh4am1_p_65 拼搏现实的明天。/ 2022年05月18日 06:50/ 0 赞/ 254 阅读
还没有评论,来说两句吧...