新手入门之本地文件包含(附靶机文件)

[复制链接]
查看22758 | 回复3 | 2017-4-20 16:37:20 | 显示全部楼层 |阅读模式

概述


通过加强对本地文件包含(LFI)渗透测试技术的研究,可以帮助渗透测试人员和学生在未来的渗透测试过程中,识别和测试LFI漏洞。在Web程序渗透测试中,利用本文中的技术发现的LFI漏洞是渗透测试中的典型漏洞。此外,在本文中提到有一些技术,在CTF大赛中也经常被利用。


什么是本地文件包含(LFI)漏洞?


LFI允许攻击者通过浏览器包含一个服务器上的文件。当一个WEB应用程序在没有正确过滤输入数据的情况下,就有可能存在这个漏洞,该漏洞允许攻击者操纵输入数据、注入路径遍历字符、包含web服务器的其他文件。


漏洞代码实例


如下图,这是一个存在本地文件包含漏洞的PHP代码:

t017bd5fdc00ff3dd3d.jpg

在WEB应用程序中识别LFI


LFI漏洞很容易被识别和利用。任何一个包含WEB服务器文件的脚本,对于下一步的LIF测试,都是一个很好的切入点,例如:

t0102077ce314d3bef5.jpg

对于渗透测试人员,可以尝试通过操纵文件位置参数来利用它,就像是这样的:

t01df815abf576cd588.jpg

上面是为了显示出在UNIX或LINUX系统中/etc/passwd文件的内容。

下图是在一个WEB应用程序中,成功利用LFI漏洞的例子:

t0100a16c6868e121b7.jpg

PHP封装


PHP的大量封装经常被滥用,有可能导致绕过输入过滤。


PHP Expect封装


PHP的“expect://”允许执行系统命令,不过,PHP expect模块在默认情况下是没有启用的。

t01547c7ac1654b1747.jpg

PHP file://封装


下图是一个带有payload的POST请求:

t01fe37b211002000fa.jpg

下图利用php://input攻击DVWA,包含了一个“ls”命令,如下:

t0178491cb4b114311e.jpg

攻击后的响应情况如下图:

t01538e7652451699c5.jpg

PHP php://filter


PHP php://filter允许渗透测试人员包含本地文件,并将输出数据用BASE64编码。当然,用BASE64编码的输出数据需要经过解码,还原出原始内容。

攻击实例如下:

t0182a60018542d720d.jpg

运行结果如下:

t0172bff87c9a7c51f9.jpg

然后对输出结果进行BASE64解码。

t0179cdd8921b64c5f9.jpg

如上所示,已经还原出原始内容。

当然,php://filter也可以在不用BASE64编码(编码应该是为了隐藏目的)的情况下输出结果:

t019aa149ddcfa3b9bf.jpg

结果如下:

t016561aae0c1977431.jpg

PHP ZIP封装LFI


PHP ZIP封装主要在服务器端处理上传的.zip文件,攻击者可以通过一个存在漏洞的文件上传功能,上传一个ZIP文件,并通过LFI来执行服务器端的ZIP过滤器。一个典型的攻击实例看起来是这样的:

1.创建一个PHP反弹SHELL(SHELL.php)。

2.将其压缩成一个.zip文件。

3.将这个.zip文件上传到远程服务器。

4.利用PHP ZIP封装提取PHP SHELL,使用“php?page=zip://path/to/file.zip%23shell”。

5.上面的命令会将提取的文件存储为名为SHELL.php的文件,如果服务器端没有添加.php后缀,可以通过重命名来添加。

如果文件上传功能不允许上传ZIP文件,可以尝试利用各种方法绕过文件上传限制(参见: OWASP file upload testing document)。


通过/proc/self/environ执行LFI


通过本地文件包含漏洞,查看是否可以包含/proc/self/environ文件。然后向User-Agent头中注入PHP代码有可能会攻击成功。如果代码被成功注入到User-Agent头中,本地文件包含漏洞会利用并执行/proc/self/environ,用于重新加载环境变量,最后会执行你的反弹shell。


空字节技术


通过在URL编码中增加“空字节”,比如“00%”,在某些情况下能绕过WEB应用程序中的过滤。通常,增加空字符后,后端的WEB应用程序对该输入有可能会放行或不处理,从而可以绕过WEB应用黑名单过滤器。

下面是一些特殊的LFI空字节注入的实例:

t01c48c2a48fa43e2f9.jpg

截断LFI绕过


截断是另一个绕过黑名单的技术,通过向有漏洞的文件包含机制中注入一个长的参数,WEB应用有可能会“砍掉它”(截断)输入的参数,从而有可能绕过输入过滤。

LFI截断实例:

t01dce7c97382c9c936.jpg

日志文件污染


日志文件污染是通过将注入目标系统的代码写入到日志文件中。通常,访问目标系统上的某些对外开放的服务时,系统会自动将访问记录写入到日志文件中,利用这个机制,有可能会将代码写入到日志中。例如,利用一个包含PHP反弹shell的URL访问目标系统时,目标系统会返回一个404页面,并将创建一个apache的访问记录,记录中会包含之前的PHP反弹shell。利用之前已经发现的文件包含漏洞,可以解析apache的日志文件,从而执行日志中的PHP反弹shell。

在将源代码导入到目标系统的日志文件之后,下一步就是确定日志文件的位置。在对WEB服务器进行渗透测试的侦察和发现阶段,通常我们都会通过扫描来收集目标系统的信息,一个好的出发点是查找被识别的操作系统和WEB服务器的默认日志路径。结合“Burp intruder”和“FuzzDB的Burp LFI载荷列表”,我们可以很快在目标系统中识别出有效的日志文件位置。

下面是一些常用的、在linux或UNIX上对外开放的服务:

Apache/Nginx

可以使用netcat将代码注入到WEB服务器访问或错误日志中,然后通过之前发现的LFI漏洞,解析本地的日志文件。如果WEB服务器的日志文件太长,执行你的代码可能需要一些时间。


通过邮件给目标机器发送一个反弹shell


如果目标机器直接或通过网络上的另一台机器转发电子邮件,并将邮件存储在系统的www-data用户下(或者其它apache的用户),通过电子邮件给目标发送一个反弹shell是完全有可能的。如果域名不存在MX记录,但是SMTP对外可以访问,那么就有可能连接到目标邮件服务器,并向www-data/apache用户发送邮件。邮件要发送到当前正在运行apache的用户上,这才能确保用户帐户有权限访问到该用户的邮件数据目录,及数据中注入的PHP反弹shell。在该实例中,用户帐户是www-data,邮件目录是/var/spool/mail/www-data。

在实际攻击中,首先使用一个已知的UNIX/LINUX帐户名称列表来对目标系统进行枚举,如下:

t01001908494b432869.jpg

如上图:使用smtp-user-enum脚本确认www-data用户帐户存在于系统中。

下面的图片显示通过telnet给www-data用户发送邮件的过程:

t012cbae8e739f4769e.jpg

下图显示的www-data邮件脱机文件中含有被发送过去的PHP反弹shell代码。

t01c6c4ea0312511859.jpg

利用netcat监听本地80端口,用于目标系统中PHP反弹SHELL的回连,如下图,PHP SHELL成功反弹:

t0120c4316c081b0412.jpg


靶机文件下载:

index.php (110 Bytes, 下载次数: 56)

有人的地方就有江湖。
回复

使用道具 举报

匿名 OOKOO | 2018-1-31 23:15:39 | 显示全部楼层
好文章好文章
回复

使用道具 举报

wiiner | 2018-7-27 07:29:04 | 显示全部楼层
够我学习一阵子了
回复

使用道具 举报

毛毛羽 | 2018-8-29 21:52:14 | 显示全部楼层
好文章!!!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

93

主题

224

帖子

3164

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
3164