【web】php文件包含(利用phpinfo)

Docker搭建复现环境

 

地址:https://github.com/vulhub/vulhub/tree/master/php/inclusion

ps. github单独下载一个文件夹的方法:

安装:SVN

命令:sudo apt-get install subversion

如果想下载的文件夹链接是:https://github.com/vulhub/vulhub/tree/master/php/inclusion

那么改为:https://github.com/vulhub/vulhub/trunk/php/inclusion

命令行下载:svn checkout https://github.com/vulhub/vulhub/trunk/php/inclusion

 

下好了以后直接

docker-compose up -d

 

如果出现 AttributeError: 'module' object has no attribute 'SSL_ST_INIT' 问题:

rm -rf /usr/lib/python2.7/dist-packages/OpenSSL
rm -rf /usr/lib/python2.7/dist-packages/pyOpenSSL-0.15.1.egg-info
sudo pip install pyopenssl

 

 

复现

 

docker 执行完命令之后,直接访问网站 8080 端口会出现 phpinfo 界面

lfi.php?file=/etc/passwd 发现存在文件包含的

 

使用脚本进行 get shell:

python2 运行:python2 exp.py 192.168.149.133 8080 10(IP 端口 线程)

 

脚本报的结果:Got it! Sehll created in /tmp/g

所以使用:lfi.php?file=/tmp/g&1=system('ls'); 可以执行命令了!

 

 

漏洞原理

 

完全来自:https://github.com/vulhub/vulhub/tree/master/php/inclusion

大佬们写的太详细了,一看就懂,我就不胡说八道了

在给 php 发送 post 数据包的时候,如果数据包里面包含文件区块,无论访问的代码中有没有处理文件上传的逻辑,php 都会将这个文件保存成临时文件(通常是 /tmp/php[6个随机字符]),文件名可以通过在 $_FILES 这个变量中找到,这个临时文件,在请求结束后就会被删除

 

同时,因为 phpinfo 页面会将当前请求上下文所有变量都打印出来,所以我们如果向 phpinfo 页面发送包含文件区块的数据包,则可以在返回包里找到 $_FILES 变量的内容,自然也包含临时文件名

 

在文件包含找不到可利用的文件时,即可用这种方法(为什么我觉得这样一把梭更舒服?),找到临时文件名,然后包含

 

但是文件包含漏洞和 phpinfo 页面通常是两个页面,理论上我们需要先发数据包给 phpinfo 页面,然后从返回页面中匹配出临时文件名,再将这个文件名发送给文件包含漏洞页面,进行 getshell。在第一个请求结束时,临时文件就被删除了,第二个请求自然也无法包含

 

这时候需要用到条件竞争,具体流程如下:

1、发送包含 webshell 的上传数据给 phpinfo 页面,这个页面数据包的 header、get 等位置需要塞满垃圾数据

2、因为 phpinfo 页面会将所有数据都打印出来,第一步中的垃圾数据会使得 phpinfo 页面变得非常大

3、php 默认的输出缓冲区大小为 4096,可以理解为 php 每次返回 4096 个字节给 socket 连接

4、我们直接操作原生 socket,每次读取 4096 个字节,只要读取到的字符里面包含临时文件名,就立即发送第二个数据包

5、此时,第一个数据包的 socket 连接实际上还没有结束,因为 php 还在继续每次输出 4096 个字节,所以临时文件此时还没有删除

6、利用这个时间差,第二个数据包,也就是文件包含漏洞的利用,即可成功包含临时文件,最终 getshell

 

参考

 

https://github.com/vulhub/vulhub/tree/master/php/inclusion

转载于:https://www.cnblogs.com/yichen115/p/11526989.html

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
### 回答1: PHP文件包含漏洞是一种常见的Web安全漏洞,攻击者可以利用该漏洞通过包含恶意文件来执行任意代码。其中,利用phpinfo函数可以获取服务器的详细信息,包括PHP版本、操作系统、配置文件路径等,攻击者可以利用这些信息来进一步攻击服务器。因此,对于PHP文件包含漏洞,我们需要及时修复漏洞并加强服务器的安全防护措施,以保障网站的安全性。 ### 回答2: php文件包含漏洞是一种常见的Web应用程序漏洞,它允许攻击者在没有正常访问权限的情况下获取Web应用程序的敏感数据和系统资源。利用phpinfo函数,攻击者可以获得关于Web服务器和PHP环境的详细信息,包括内存使用情况、PHP模块的版本、系统路径、配置文件名等等,这些信息可用于进一步攻击或收集有关系统的信息。 通常情况下,php文件包含漏洞产生的原因是由于Web应用程序没有正确的过滤和验证用户输入,并允许用户传递文件名或路径。如果攻击者可以在该位置输入恶意代码,他们就可以通过访问特定的URL,向web服务器请求文件或脚本来执行所需的操作。 对于php文件包含漏洞,攻击者可以利用phpinfo函数来获取大量有关Web服务器和PHP配置的信息。如果攻击者可以获取此信息,他们将更容易地了解Web服务器的配置和缺陷,从而定向和更容易地入侵目标系统。例如,攻击者可以使用所收集到的信息来寻找系统上的其他漏洞,或者在成功入侵后利用该信息来控制服务器,尝试使用系统权限执行任意代码或更改配置。 为了保护Web应用程序安全,我们可以采取以下措施来防止php文件包含漏洞的发生: 1. 使用安全的编程实践来避免不可信数据输入 2. 防止对敏感资源和服务器配置文件的读取 3. 激活PHP配置参数,如open_basedir,以限制PHP访问的目录 4. 限制Web服务器的目录访问权限 5. 定期检查服务器日志来检测异常行为和攻击行为 6. 采用安全的编程方法避免可能的错误,并保持对最新漏洞和安全威胁的关注 php文件包含漏洞可能会导致非常严重的安全问题,所以应采取有效的措施来保护Web应用程序和服务器的安全。通过实践良好的编程实践和安全性控制策略,可以帮助我们保护Web应用程序不受恶意攻击的影响,从而确保我们的数据和系统的安全性。 ### 回答3: PHP文件包含漏洞是一种常见的网络安全漏洞。它的存在导致黑客可以利用这个漏洞通过访问包含文件来执行任意代码并控制整个服务器。 PHP文件包含漏洞的根源在于PHP提供了一种方便的方式来包含另一个文件中的代码,这种方式是通过 include() 或 require() 函数实现的。这些函数接受一个文件名作为参数,然后将该文件中的代码“拷贝并粘贴”到当前的PHP文件中。这个机制的漏洞是黑客可以通过传递带有恶意代码的参数来包含任意文件,这可能是远程服务器上的PHP脚本,也可能是包含恶意代码的本地文件。 PHPInfo是一个php的系统信息函数,负责显示PHP配置和环境信息。这里,黑客可以利用PHPInfo来寻找服务器的弱点,并进一步利用php文件包含漏洞。通过读入php.ini一个配置文件,该函数可以泄漏服务器的所有信息,包括文件路径、数据库密码、服务器版本、PHP版本等等。 黑客可以通过以下步骤来利用php文件包含漏洞和phpinfo()函数进一步渗透服务器: 1. 使用phpinfo()函数来获取服务器的系统信息和配置信息 2. 解析得到的信息,寻找PHP文件包含漏洞的存在 3. 通过向include()或require()函数传递恶意文件来执行任意代码并控制服务器 为了避免这些漏洞,PHP开发者应该始终验证来自用户的输入。对于文件包含,应该限制包含文件的范围,禁止包含远程文件,并使用白名单来确定包含文件的位置。同时,应该禁用phpinfo()函数或者确保它只在受信任的环境中使用。 维护者还可以使用一些工具例如模糊测试技术、代码审计等来发现并修复这些漏洞。实施彻底的安全措施对于预防这些漏洞的产生非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值