LFI Suite是什么?
LFI Suite 是一款全自动化工具,可以使用不同的攻击方式去扫描并利用LFI(本地文件包含,下文同)漏洞,具体细节参见“特点”一节。
特点
适用于Windows, Linux 和 OS X
自动配置
自动更新
提供8种不同的本地文件包含攻击模块:
/proc/self/environ
php://filter
php://input
/proc/self/fd
access log
phpinfo
data://
expect://
提供第九个模式,叫Auto-Hack,它通过一次又一次的尝试所有的攻击来自动扫描并利用目标漏洞。(除非在一开始你没有可提供的路径列表,你可以在此项目目录里找到一大一小的两个版本目录列表)。
Tor 代理支持
Windows,,Linux和OS X的反向shell
如何使用?
git clone https://github.com/D35m0nd142/LFISuite.git
使用非常简单,LFI Suite 具有易于使用的用户界面;运行后它就会指导你。
反向 Shell
当你通过一个可利用的攻击获取到一个LFI shell后,你可以通过输入“reverseshell”命令轻易地获得一个反向shell。(显然,你必须让你的系统监听反向连接,比如用“nc –lvp port”)。
依赖
Python 2.7.x
Python 额外模块: termcolor, requests
socks.py
以防缺少一些模块,当你运行此脚本时,它会检查你是否安装了pip,如果没有安装,它会自动安装,然后使用pip安装缺少的模块并下载需要的socks.py文件。
我尝试过在不同的操作系统(Debian,Ubuntu,Fedora,Windows 10,OS X)上使用此脚本,完美运行!但是如果有一些奇怪的事发生和pip与其他模块的自动化安装失败的话,请手动安装缺少的模块并重新运行此脚本。
☞ 重要:为了能让此脚本自动化安装缺少的模块(还有pip),你必须在第一次的时候以root身份运行此脚本(或者至少拥有足够的权限)。
合作
LFI Suite 已经包含了许多功能,但是你可能也知道,还有大量其他潜在的攻击仍然可以实现。如果你是一个Python程序员/渗透测试员,并且希望加入该项目以改进和扩展它,请通过<d35m0nd142@gmail.com>或者直接在这里与我联系。
免责声明
我对你造成的任何非法行为概不负责。这是为了渗透测试员用于道德目的而设计的。如果你打算复制,重新分发,请注明原作者版权。
演示视频地址
YouTube:https://www.youtube.com/watch?v=6sY1Skx8MBc (自备梯子)