【web】php文件包含(利用phpinfo)
Docker搭建复现环境
地址:https://github.com/vulhub/vulhub/tree/master/php/inclusion
ps. github单独下载一个文件夹的方法:
安装:SVN 命令:sudo apt-get install subversion 如果想下载的文件夹链接是:https://github.com/vulhub/vulhub/tree/master/php/inclusion 那么改为:https://github.com/vulhub/vulhub/trunk/php/inclusion 命令行下载:svn checkout https://github.com/vulhub/vulhub/trunk/php/inclusion
下好了以后直接
docker-compose up -d
如果出现 AttributeError: 'module' object has no attribute 'SSL_ST_INIT' 问题:
rm -rf /usr/lib/python2.7/dist-packages/OpenSSL rm -rf /usr/lib/python2.7/dist-packages/pyOpenSSL-0.15.1.egg-info sudo pip install pyopenssl
复现
docker 执行完命令之后,直接访问网站 8080 端口会出现 phpinfo 界面
lfi.php?file=/etc/passwd 发现存在文件包含的
使用脚本进行 get shell:
python2 运行:python2 exp.py 192.168.149.133 8080 10(IP 端口 线程)
脚本报的结果:Got it! Sehll created in /tmp/g
所以使用:lfi.php?file=/tmp/g&1=system('ls'); 可以执行命令了!
漏洞原理
完全来自:https://github.com/vulhub/vulhub/tree/master/php/inclusion
大佬们写的太详细了,一看就懂,我就不胡说八道了
在给 php 发送 post 数据包的时候,如果数据包里面包含文件区块,无论访问的代码中有没有处理文件上传的逻辑,php 都会将这个文件保存成临时文件(通常是 /tmp/php[6个随机字符]),文件名可以通过在 $_FILES 这个变量中找到,这个临时文件,在请求结束后就会被删除
同时,因为 phpinfo 页面会将当前请求上下文所有变量都打印出来,所以我们如果向 phpinfo 页面发送包含文件区块的数据包,则可以在返回包里找到 $_FILES 变量的内容,自然也包含临时文件名
在文件包含找不到可利用的文件时,即可用这种方法(为什么我觉得这样一把梭更舒服?),找到临时文件名,然后包含
但是文件包含漏洞和 phpinfo 页面通常是两个页面,理论上我们需要先发数据包给 phpinfo 页面,然后从返回页面中匹配出临时文件名,再将这个文件名发送给文件包含漏洞页面,进行 getshell。在第一个请求结束时,临时文件就被删除了,第二个请求自然也无法包含
这时候需要用到条件竞争,具体流程如下:
1、发送包含 webshell 的上传数据给 phpinfo 页面,这个页面数据包的 header、get 等位置需要塞满垃圾数据
2、因为 phpinfo 页面会将所有数据都打印出来,第一步中的垃圾数据会使得 phpinfo 页面变得非常大
3、php 默认的输出缓冲区大小为 4096,可以理解为 php 每次返回 4096 个字节给 socket 连接
4、我们直接操作原生 socket,每次读取 4096 个字节,只要读取到的字符里面包含临时文件名,就立即发送第二个数据包
5、此时,第一个数据包的 socket 连接实际上还没有结束,因为 php 还在继续每次输出 4096 个字节,所以临时文件此时还没有删除
6、利用这个时间差,第二个数据包,也就是文件包含漏洞的利用,即可成功包含临时文件,最终 getshell
参考
https://github.com/vulhub/vulhub/tree/master/php/inclusion
原文地址:https://www.cnblogs.com/yichen115/p/11526989.html
- Spring Cloud Zuul结合Smconf配置中心动态进行IP黑名单限制
- 高性能NIO框架Netty入门篇
- Spring Boot Web 静态文件缓存处理
- hbuilder 开发APP填坑经验
- hbuilder APP 定位提示苹果审核不通过
- hbuilder 开发5+ APP采坑记录
- Spring Cloud如何提供API给客户端
- 5分钟学会Spring Boot自定义属性和自动配置
- 创建一个Spring Security OAuth认证服务
- Zipkin和微服务链路跟踪
- Java8真不用再搞循环了?
- 针对事件驱动架构的Spring Cloud Stream
- Spring的三种Circuit Breaker
- Spring5以来注册Bean的各种姿势,特别最后的纯编码注册值得尝试
- php概述
- php教程
- php环境搭建
- PHP书写格式
- php变量
- php常量
- PHP注释
- php数组
- php字符串 string
- PHP整型 integer
- PHP浮点型 float
- php布尔型
- php数据类型之数组
- php数据类型之对象
- php数据类型之null
- php数据类型之间的转换
- php运算符
- php表达式
- PHP循环控制
- PHP流程控制
- php函数
- php全局变量
- PHP魔术变量
- php命名空间
- php 日期
- PHP包含文件
- php文件
- PHP 文件上传
- php Cookies
- php Sessions
- php email
- php安全email
- php错误处理
- PHP异常处理
- php过滤器
- PHP 高级过滤器
- php json
- php 表单
- PHP MySQL 简介
- PHP 连接 MySQL
- php创建数据库
- php 创建表
- php mysq 插入数据
- PHP MySQL 插入多条数据
- PHP MySQL 预处理语句
- php mysql 读取数据
- php mysql where
- PHP MySQL Order By
- PHP MySQL Update
- PHP MySQL Delete
- php ODBC