滲透測試技術之本地文件包含
概述
通過加強對本地文件包含(LFI)滲透測試技術的研究,可以幫助滲透測試人員和學生在未來的滲透測試過程中,識別和測試LFI漏洞。在Web程序滲透測試中,利用本文中的技術發現的LFI漏洞是滲透測試中的典型漏洞。此外,在本文中提到有一些技術,在CTF大賽中也經常被利用。
什么是本地文件包含(LFI)漏洞?
LFI允許攻擊者通過瀏覽器包含一個服務器上的文件。當一個WEB應用程序在沒有正確過濾輸入數據的情況下,就有可能存在這個漏洞,該漏洞允許攻擊者操縱輸入數據、注入路徑遍歷字符、包含web服務器的其他文件。
漏洞代碼實例
如下圖,這是一個存在本地文件包含漏洞的PHP代碼:
在WEB應用程序中識別LFI
LFI漏洞很容易被識別和利用。任何一個包含WEB服務器文件的腳本,對于下一步的LIF測試,都是一個很好的切入點,例如:
對于滲透測試人員,可以嘗試通過操縱文件位置參數來利用它,就像是這樣的:
上面是為了顯示出在UNIX或LINUX系統中/etc/passwd文件的內容。
下圖是在一個WEB應用程序中,成功利用LFI漏洞的例子:
PHP封裝
PHP的大量封裝經常被濫用,有可能導致繞過輸入過濾。
PHP Expect封裝
PHP的“expect://”允許執行系統命令,不過,PHP expect模塊在默認情況下是沒有啟用的。
PHP file://封裝
下圖是一個帶有payload的POST請求:
下圖利用php://input攻擊DVWA,包含了一個“ls”命令,如下:
攻擊后的響應情況如下圖:
PHP php://filter
PHP php://filter允許滲透測試人員包含本地文件,并將輸出數據用BASE64編碼。當然,用BASE64編碼的輸出數據需要經過解碼,還原出原始內容。
攻擊實例如下:
運行結果如下:
然后對輸出結果進行BASE64解碼。
如上所示,已經還原出原始內容。
當然,php://filter也可以在不用BASE64編碼(編碼應該是為了隱藏目的)的情況下輸出結果:
結果如下:
PHP ZIP封裝LFI
PHP ZIP封裝主要在服務器端處理上傳的.zip文件,攻擊者可以通過一個存在漏洞的文件上傳功能,上傳一個ZIP文件,并通過LFI來執行服務器端的ZIP過濾器。一個典型的攻擊實例看起來是這樣的:
1.創建一個PHP反彈SHELL(SHELL.php)。
2.將其壓縮成一個.zip文件。
3.將這個.zip文件上傳到遠程服務器。
4.利用PHP ZIP封裝提取PHP SHELL,使用“php?page=zip://path/to/file.zip%23shell”。
5.上面的命令會將提取的文件存儲為名為SHELL.php的文件,如果服務器端沒有添加.php后綴,可以通過重命名來添加。
如果文件上傳功能不允許上傳ZIP文件,可以嘗試利用各種方法繞過文件上傳限制(參見: OWASP file upload testing document)。
通過/proc/self/environ執行LFI
通過本地文件包含漏洞,查看是否可以包含/proc/self/environ文件。然后向User-Agent頭中注入PHP代碼有可能會攻擊成功。如果代碼被成功注入到User-Agent頭中,本地文件包含漏洞會利用并執行/proc/self/environ,用于重新加載環境變量,最后會執行你的反彈shell。
空字節技術
通過在URL編碼中增加“空字節”,比如“00%”,在某些情況下能繞過WEB應用程序中的過濾。通常,增加空字符后,后端的WEB應用程序對該輸入有可能會放行或不處理,從而可以繞過WEB應用黑名單過濾器。
下面是一些特殊的LFI空字節注入的實例:
截斷LFI繞過
截斷是另一個繞過黑名單的技術,通過向有漏洞的文件包含機制中注入一個長的參數,WEB應用有可能會“砍掉它”(截斷)輸入的參數,從而有可能繞過輸入過濾。
LFI截斷實例:
日志文件污染
日志文件污染是通過將注入目標系統的代碼寫入到日志文件中。通常,訪問目標系統上的某些對外開放的服務時,系統會自動將訪問記錄寫入到日志文件中,利用這個機制,有可能會將代碼寫入到日志中。例如,利用一個包含PHP反彈shell的URL訪問目標系統時,目標系統會返回一個404頁面,并將創建一個apache的訪問記錄,記錄中會包含之前的PHP反彈shell。利用之前已經發現的文件包含漏洞,可以解析apache的日志文件,從而執行日志中的PHP反彈shell。
在將源代碼導入到目標系統的日志文件之后,下一步就是確定日志文件的位置。在對WEB服務器進行滲透測試的偵察和發現階段,通常我們都會通過掃描來收集目標系統的信息,一個好的出發點是查找被識別的操作系統和WEB服務器的默認日志路徑。結合“Burp intruder”和“FuzzDB的Burp LFI載荷列表”,我們可以很快在目標系統中識別出有效的日志文件位置。
下面是一些常用的、在linux或UNIX上對外開放的服務:Apache/Nginx
可以使用netcat將代碼注入到WEB服務器訪問或錯誤日志中,然后通過之前發現的LFI漏洞,解析本地的日志文件。如果WEB服務器的日志文件太長,執行你的代碼可能需要一些時間。
通過郵件給目標機器發送一個反彈shell
如果目標機器直接或通過網絡上的另一臺機器轉發電子郵件,并將郵件存儲在系統的www-data用戶下(或者其它apache的用戶),通過電子郵件給目標發送一個反彈shell是完全有可能的。如果域名不存在MX記錄,但是SMTP對外可以訪問,那么就有可能連接到目標郵件服務器,并向www-data/apache用戶發送郵件。郵件要發送到當前正在運行apache的用戶上,這才能確保用戶帳戶有權限訪問到該用戶的郵件數據目錄,及數據中注入的PHP反彈shell。在該實例中,用戶帳戶是www-data,郵件目錄是/var/spool/mail/www-data。
在實際攻擊中,首先使用一個已知的UNIX/LINUX帳戶名稱列表來對目標系統進行枚舉,如下:
如上圖:使用smtp-user-enum腳本確認www-data用戶帳戶存在于系統中。
下面的圖片顯示通過telnet給www-data用戶發送郵件的過程:
下圖顯示的www-data郵件脫機文件中含有被發送過去的PHP反彈shell代碼。
利用netcat監聽本地80端口,用于目標系統中PHP反彈SHELL的回連,如下圖,PHP SHELL成功反彈:
參考
https://highon.coffee/blog/lfi-cheat-sheet/
