漏洞实例,vulhub的文件包含漏洞(利用phpinfo)
(162条消息) PHP文件包含漏洞(利用phpinfo)_Li-D的博客-CSDN博客_php文件包含漏洞
(162条消息) PHP文件包含漏洞利用phpinfo写入webshell_ADummy_的博客-CSDN博客
(162条消息) PHP文件包含漏洞(利用phpinfo)_小 白 萝 卜的博客-CSDN博客
vulhub/README.zh-cn.md at master · vulhub/vulhub (github.com)
利用方法简述
在给PHP发送POST数据包时,如果数据包里包含文件区块,无论你访问的代码中有没有处理文件上传的逻辑,PHP都会将这个文件保存成一个临时文件(通常是/tmp/php[6个随机字符]
),文件名可以在$_FILES
变量中找到。这个临时文件,在请求结束后就会被删除。
同时,因为phpinfo页面会将当前请求上下文中所有变量都打印出来,所以我们如果向phpinfo页面发送包含文件区块的数据包,则即可在返回包里找到$_FILES
变量的内容,自然也包含临时文件名(关键因素)。
在文件包含漏洞找不到可利用的文件时,即可利用这个方法,找到临时文件名,然后包含它。
但文件包含漏洞和phpinfo页面通常是两个页面,理论上我们需要先发送数据包给phpinfo页面,然后从返回页面中匹配出临时文件名,再将这个文件名发送给文件包含漏洞页面,进行getshell。在第一个请求结束时,临时文件就被删除了,第二个请求自然也就无法进行包含。
这个时候就需要用到条件竞争,具体流程如下:
- 发送包含了webshell的上传数据包给phpinfo页面,这个数据包的header、get等位置需要塞满垃圾数据
- 因为phpinfo页面会将所有数据都打印出来,1中的垃圾数据会将整个phpinfo页面撑得非常大
- php默认的输出缓冲区大小为4096,可以理解为php每次返回4096个字节给socket连接
- 所以,我们直接操作原生socket,每次读取4096个字节。只要读取到的字符里包含临时文件名,就立即发送第二个数据包
- 此时,第一个数据包的socket连接实际上还没结束,因为php还在继续每次输出4096个字节,所以临时文件此时还没有删除
- 利用这个时间差,第二个数据包,也就是文件包含漏洞的利用,即可成功包含临时文件,最终getshell
原理是组合漏洞:
在给PHP发送POST数据包时,如果数据包里包含文件区块,无论你访问的代码中有没有处理文件上传的逻辑,PHP都会将这个文件保存成一个临时文件(通常是/tmp/php[6个随机字符]
),文件名可以在$_FILES
变量中找到。这个临时文件,在请求结束后就会被删除。
不管你接受与否,php都会存储这个缓存。因此我们发送大额数据包,导致缓存来不及删除,接着再去找到一个文件包含漏洞,然后包含这个临时的缓存文件,就这一瞬间给包含掉,本身而言不是phpinfo的漏洞。
个人觉得其他php文件也是可以达到同样的要求,区别就在于:phpinfo会打印$_FILES的内容,让我们知道临时文件名的路径,理论而言这样的组合型漏洞是成立的。