其他分享
首页 > 其他分享> > (六)pikachu通关教程—文件包含、文件下载、文件上传

(六)pikachu通关教程—文件包含、文件下载、文件上传

作者:互联网

一、文件包含

1、本地文件包含

读取本地域名解析文件

?filename=../../../../Windows/System32/drivers/etc/hosts


2、远程文件包含

(1)漏洞分析

        通过url地址对远程的文件进行包含,这意味着攻击者可以传入任意的代码,这种情况没啥好说的,准备挂彩。因此,在web应用系统的功能设计上尽量不要让前端用户直接传变量给包含函数,如果非要这么做,也一定要做严格的白名单策略进行过滤。

        注意:远程包含漏洞的前提:如果使用的incldue和require,则需要在phpStudy或php.ini中配置开启下面选项

(2)编写文件名问yijuhua.txt文件执行后让他自己生成木马

(3)payload

?filename=http://127.0.0.1/pikachu-master/test/yijuhua.txt

运行之后生成了一句话木马文件

(4)使用蚁剑进行连接

 

(5)连接成功

 


二、文件下载

1、点击kebo进行下载,得到如下连接

http://127.0.0.1/pikachu-master/vul/unsafedownload/execdownload.php?filename=kb.png

2、可以看到是直接通过filename进行读取文件的,那我们来尝试下载在上一页面URL中发现的down_nba.php

http://127.0.0.1/pikachu-master/vul/unsafedownload/execdownload.php?filename=../down_nba.php

果然成功下载,当然还可以通过../../来构造下载其他文件


三、文件上传

1、客户端check

(1)在3.jpg写入php代码。

(2)上传文件进行抓包,将3.jpg改为3.php

 

(3)发送到重发器,显示3.php上传成功,然后放包。 

(4)访问该路径:uploads/3.jpg

上传成功。


2、服务端check

(1)上传3.jpg时,使用burpsuite进行抓包

(2)将Content-Type改为Content-Type: image/jpeg,将3.jpg改为3.php,然后放包。

显示上传成功

(3)访问该路径uploads/3.php 


3、getimagesize()

(1)编写一句话木马2.php。

(2)将1.jpg和2.php放在同一个目录下,然后用cmd执行命令。

copy 1.jpg/b + 2.php/a 3.jpg

新生成的3.jpg就是构造成功的图片木马

(3)将3.jpg进行上传

如果页面报错

 

修改phpstudy版本,修改到php-5.2.17 +Apache

 

再次重新上传,显示上传成功。

(4)访问该路径

uploads/2021/11/18/65186861961c63c4a77679198778.jpg

 没有执行php代码

(5)利用前面的文件包含漏洞可以将图片格式的文件当做php文件来解析执行

Payload

http://localhost/pikachu-master/vul/fileinclude/fi_local.php?filename=../../unsafeupload/uploads/2021/11/18/65186861961c63c4a77679198778.jpg&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2

标签:文件,..,pikachu,jpg,filename,php,上传,通关
来源: https://blog.csdn.net/weixin_46187013/article/details/122277068