概述

通過(guò)加強(qiáng)對(duì)本地文件包含(LFI)滲透測(cè)試技術(shù)的研究，可以幫助滲透測(cè)試人員和學(xué)生在未來(lái)的滲透測(cè)試過(guò)程中，識(shí)別和測(cè)試LFI漏洞。在Web程序滲透測(cè)試中，利用本文中的技術(shù)發(fā)現(xiàn)的LFI漏洞是滲透測(cè)試中的典型漏洞。此外，在本文中提到有一些技術(shù)，在CTF大賽中也經(jīng)常被利用。

什么是本地文件包含(LFI)漏洞?

LFI允許攻擊者通過(guò)瀏覽器包含一個(gè)服務(wù)器上的文件。當(dāng)一個(gè)WEB應(yīng)用程序在沒(méi)有正確過(guò)濾輸入數(shù)據(jù)的情況下，就有可能存在這個(gè)漏洞，該漏洞允許攻擊者操縱輸入數(shù)據(jù)、注入路徑遍歷字符、包含web服務(wù)器的其他文件。

漏洞代碼實(shí)例

如下圖，這是一個(gè)存在本地文件包含漏洞的PHP代碼：

在WEB應(yīng)用程序中識(shí)別LFI

LFI漏洞很容易被識(shí)別和利用。任何一個(gè)包含WEB服務(wù)器文件的腳本，對(duì)于下一步的LIF測(cè)試，都是一個(gè)很好的切入點(diǎn)，例如：

對(duì)于滲透測(cè)試人員，可以嘗試通過(guò)操縱文件位置參數(shù)來(lái)利用它，就像是這樣的：

上面是為了顯示出在UNIX或LINUX系統(tǒng)中/etc/passwd文件的內(nèi)容。

下圖是在一個(gè)WEB應(yīng)用程序中，成功利用LFI漏洞的例子：

PHP封裝

PHP的大量封裝經(jīng)常被濫用，有可能導(dǎo)致繞過(guò)輸入過(guò)濾。

PHP Expect封裝

PHP的“expect://”允許執(zhí)行系統(tǒng)命令，不過(guò)，PHP expect模塊在默認(rèn)情況下是沒(méi)有啟用的。

PHP file://封裝

下圖是一個(gè)帶有payload的POST請(qǐng)求：

下圖利用php://input攻擊DVWA，包含了一個(gè)“ls”命令，如下：

攻擊后的響應(yīng)情況如下圖：

PHP php://filter

PHP php://filter允許滲透測(cè)試人員包含本地文件，并將輸出數(shù)據(jù)用BASE64編碼。當(dāng)然，用BASE64編碼的輸出數(shù)據(jù)需要經(jīng)過(guò)解碼，還原出原始內(nèi)容。

攻擊實(shí)例如下：

運(yùn)行結(jié)果如下：

然后對(duì)輸出結(jié)果進(jìn)行BASE64解碼。

如上所示，已經(jīng)還原出原始內(nèi)容。

當(dāng)然，php://filter也可以在不用BASE64編碼(編碼應(yīng)該是為了隱藏目的)的情況下輸出結(jié)果：

結(jié)果如下：

PHP ZIP封裝LFI

PHP ZIP封裝主要在服務(wù)器端處理上傳的.zip文件，攻擊者可以通過(guò)一個(gè)存在漏洞的文件上傳功能，上傳一個(gè)ZIP文件，并通過(guò)LFI來(lái)執(zhí)行服務(wù)器端的ZIP過(guò)濾器。一個(gè)典型的攻擊實(shí)例看起來(lái)是這樣的：

1.創(chuàng)建一個(gè)PHP反彈SHELL(SHELL.php)。

2.將其壓縮成一個(gè).zip文件。

3.將這個(gè).zip文件上傳到遠(yuǎn)程服務(wù)器。

4.利用PHP ZIP封裝提取PHP SHELL，使用“php?page=zip://path/to/file.zip%23shell”。

5.上面的命令會(huì)將提取的文件存儲(chǔ)為名為SHELL.php的文件，如果服務(wù)器端沒(méi)有添加.php后綴，可以通過(guò)重命名來(lái)添加。

如果文件上傳功能不允許上傳ZIP文件，可以嘗試?yán)酶鞣N方法繞過(guò)文件上傳限制(參見(jiàn): OWASP file upload testing document)。

通過(guò)/proc/self/environ執(zhí)行LFI

通過(guò)本地文件包含漏洞,查看是否可以包含/proc/self/environ文件。然后向User-Agent頭中注入PHP代碼有可能會(huì)攻擊成功。如果代碼被成功注入到User-Agent頭中，本地文件包含漏洞會(huì)利用并執(zhí)行/proc/self/environ，用于重新加載環(huán)境變量，最后會(huì)執(zhí)行你的反彈shell。

空字節(jié)技術(shù)

通過(guò)在URL編碼中增加“空字節(jié)”，比如“00%”，在某些情況下能繞過(guò)WEB應(yīng)用程序中的過(guò)濾。通常，增加空字符后，后端的WEB應(yīng)用程序?qū)υ撦斎胗锌赡軙?huì)放行或不處理，從而可以繞過(guò)WEB應(yīng)用黑名單過(guò)濾器。

下面是一些特殊的LFI空字節(jié)注入的實(shí)例：

截?cái)郘FI繞過(guò)

截?cái)嗍橇硪粋€(gè)繞過(guò)黑名單的技術(shù)，通過(guò)向有漏洞的文件包含機(jī)制中注入一個(gè)長(zhǎng)的參數(shù)，WEB應(yīng)用有可能會(huì)“砍掉它”(截?cái)?輸入的參數(shù)，從而有可能繞過(guò)輸入過(guò)濾。

LFI截?cái)鄬?shí)例：

日志文件污染

日志文件污染是通過(guò)將注入目標(biāo)系統(tǒng)的代碼寫入到日志文件中。通常，訪問(wèn)目標(biāo)系統(tǒng)上的某些對(duì)外開(kāi)放的服務(wù)時(shí)，系統(tǒng)會(huì)自動(dòng)將訪問(wèn)記錄寫入到日志文件中，利用這個(gè)機(jī)制，有可能會(huì)將代碼寫入到日志中。例如，利用一個(gè)包含PHP反彈shell的URL訪問(wèn)目標(biāo)系統(tǒng)時(shí)，目標(biāo)系統(tǒng)會(huì)返回一個(gè)404頁(yè)面，并將創(chuàng)建一個(gè)apache的訪問(wèn)記錄，記錄中會(huì)包含之前的PHP反彈shell。利用之前已經(jīng)發(fā)現(xiàn)的文件包含漏洞，可以解析apache的日志文件，從而執(zhí)行日志中的PHP反彈shell。

在將源代碼導(dǎo)入到目標(biāo)系統(tǒng)的日志文件之后，下一步就是確定日志文件的位置。在對(duì)WEB服務(wù)器進(jìn)行滲透測(cè)試的偵察和發(fā)現(xiàn)階段，通常我們都會(huì)通過(guò)掃描來(lái)收集目標(biāo)系統(tǒng)的信息，一個(gè)好的出發(fā)點(diǎn)是查找被識(shí)別的操作系統(tǒng)和WEB服務(wù)器的默認(rèn)日志路徑。結(jié)合“Burp intruder”和“FuzzDB的Burp LFI載荷列表”，我們可以很快在目標(biāo)系統(tǒng)中識(shí)別出有效的日志文件位置。

下面是一些常用的、在linux或UNIX上對(duì)外開(kāi)放的服務(wù)：Apache/Nginx

可以使用netcat將代碼注入到WEB服務(wù)器訪問(wèn)或錯(cuò)誤日志中，然后通過(guò)之前發(fā)現(xiàn)的LFI漏洞，解析本地的日志文件。如果WEB服務(wù)器的日志文件太長(zhǎng)，執(zhí)行你的代碼可能需要一些時(shí)間。

通過(guò)郵件給目標(biāo)機(jī)器發(fā)送一個(gè)反彈shell

如果目標(biāo)機(jī)器直接或通過(guò)網(wǎng)絡(luò)上的另一臺(tái)機(jī)器轉(zhuǎn)發(fā)電子郵件，并將郵件存儲(chǔ)在系統(tǒng)的www-data用戶下(或者其它apache的用戶)，通過(guò)電子郵件給目標(biāo)發(fā)送一個(gè)反彈shell是完全有可能的。如果域名不存在MX記錄，但是SMTP對(duì)外可以訪問(wèn)，那么就有可能連接到目標(biāo)郵件服務(wù)器，并向www-data/apache用戶發(fā)送郵件。郵件要發(fā)送到當(dāng)前正在運(yùn)行apache的用戶上，這才能確保用戶帳戶有權(quán)限訪問(wèn)到該用戶的郵件數(shù)據(jù)目錄，及數(shù)據(jù)中注入的PHP反彈shell。在該實(shí)例中，用戶帳戶是www-data，郵件目錄是/var/spool/mail/www-data。

在實(shí)際攻擊中，首先使用一個(gè)已知的UNIX/LINUX帳戶名稱列表來(lái)對(duì)目標(biāo)系統(tǒng)進(jìn)行枚舉，如下：

如上圖：使用smtp-user-enum腳本確認(rèn)www-data用戶帳戶存在于系統(tǒng)中。

下面的圖片顯示通過(guò)telnet給www-data用戶發(fā)送郵件的過(guò)程：

下圖顯示的www-data郵件脫機(jī)文件中含有被發(fā)送過(guò)去的PHP反彈shell代碼。

利用netcat監(jiān)聽(tīng)本地80端口，用于目標(biāo)系統(tǒng)中PHP反彈SHELL的回連，如下圖，PHP SHELL成功反彈：

參考

https://highon.coffee/blog/lfi-cheat-sheet/

https://www.owasp.org/index.php/PHP_File_Inclusion

DVWA(用于LFI實(shí)例):http://www.dvwa.co.uk/