概述

通過加強(qiáng)對本地文件包含(LFI)滲透測試技術(shù)的研究，可以幫助滲透測試人員和學(xué)生在未來的滲透測試過程中，識別和測試LFI漏洞。在Web程序滲透測試中，利用本文中的技術(shù)發(fā)現(xiàn)的LFI漏洞是滲透測試中的典型漏洞。此外，在本文中提到有一些技術(shù)，在CTF大賽中也經(jīng)常被利用。

什么是本地文件包含(LFI)漏洞?

LFI允許攻擊者通過瀏覽器包含一個服務(wù)器上的文件。當(dāng)一個WEB應(yīng)用程序在沒有正確過濾輸入數(shù)據(jù)的情況下，就有可能存在這個漏洞，該漏洞允許攻擊者操縱輸入數(shù)據(jù)、注入路徑遍歷字符、包含web服務(wù)器的其他文件。

漏洞代碼實(shí)例

如下圖，這是一個存在本地文件包含漏洞的PHP代碼：

在WEB應(yīng)用程序中識別LFI

LFI漏洞很容易被識別和利用。任何一個包含WEB服務(wù)器文件的腳本，對于下一步的LIF測試，都是一個很好的切入點(diǎn)，例如：

對于滲透測試人員，可以嘗試通過操縱文件位置參數(shù)來利用它，就像是這樣的：

上面是為了顯示出在UNIX或LINUX系統(tǒng)中/etc/passwd文件的內(nèi)容。

下圖是在一個WEB應(yīng)用程序中，成功利用LFI漏洞的例子：

PHP封裝

PHP的大量封裝經(jīng)常被濫用，有可能導(dǎo)致繞過輸入過濾。

PHP Expect封裝

PHP的“expect://”允許執(zhí)行系統(tǒng)命令，不過，PHP expect模塊在默認(rèn)情況下是沒有啟用的。

PHP file://封裝

下圖是一個帶有payload的POST請求：

下圖利用php://input攻擊DVWA，包含了一個“ls”命令，如下：

攻擊后的響應(yīng)情況如下圖：

PHP php://filter

PHP php://filter允許滲透測試人員包含本地文件，并將輸出數(shù)據(jù)用BASE64編碼。當(dāng)然，用BASE64編碼的輸出數(shù)據(jù)需要經(jīng)過解碼，還原出原始內(nèi)容。

攻擊實(shí)例如下：

運(yùn)行結(jié)果如下：

然后對輸出結(jié)果進(jìn)行BASE64解碼。

如上所示，已經(jīng)還原出原始內(nèi)容。

當(dāng)然，php://filter也可以在不用BASE64編碼(編碼應(yīng)該是為了隱藏目的)的情況下輸出結(jié)果：

結(jié)果如下：

PHP ZIP封裝LFI

PHP ZIP封裝主要在服務(wù)器端處理上傳的.zip文件，攻擊者可以通過一個存在漏洞的文件上傳功能，上傳一個ZIP文件，并通過LFI來執(zhí)行服務(wù)器端的ZIP過濾器。一個典型的攻擊實(shí)例看起來是這樣的：

1.創(chuàng)建一個PHP反彈SHELL(SHELL.php)。

2.將其壓縮成一個.zip文件。

3.將這個.zip文件上傳到遠(yuǎn)程服務(wù)器。

4.利用PHP ZIP封裝提取PHP SHELL，使用“php?page=zip://path/to/file.zip%23shell”。

5.上面的命令會將提取的文件存儲為名為SHELL.php的文件，如果服務(wù)器端沒有添加.php后綴，可以通過重命名來添加。

如果文件上傳功能不允許上傳ZIP文件，可以嘗試?yán)酶鞣N方法繞過文件上傳限制(參見: OWASP file upload testing document)。

通過/proc/self/environ執(zhí)行LFI

通過本地文件包含漏洞,查看是否可以包含/proc/self/environ文件。然后向User-Agent頭中注入PHP代碼有可能會攻擊成功。如果代碼被成功注入到User-Agent頭中，本地文件包含漏洞會利用并執(zhí)行/proc/self/environ，用于重新加載環(huán)境變量，最后會執(zhí)行你的反彈shell。

空字節(jié)技術(shù)

通過在URL編碼中增加“空字節(jié)”，比如“00%”，在某些情況下能繞過WEB應(yīng)用程序中的過濾。通常，增加空字符后，后端的WEB應(yīng)用程序?qū)υ撦斎胗锌赡軙判谢虿惶幚恚瑥亩梢岳@過WEB應(yīng)用黑名單過濾器。

下面是一些特殊的LFI空字節(jié)注入的實(shí)例：

截?cái)郘FI繞過

截?cái)嗍橇硪粋€繞過黑名單的技術(shù)，通過向有漏洞的文件包含機(jī)制中注入一個長的參數(shù)，WEB應(yīng)用有可能會“砍掉它”(截?cái)?輸入的參數(shù)，從而有可能繞過輸入過濾。

LFI截?cái)鄬?shí)例：

日志文件污染

日志文件污染是通過將注入目標(biāo)系統(tǒng)的代碼寫入到日志文件中。通常，訪問目標(biāo)系統(tǒng)上的某些對外開放的服務(wù)時，系統(tǒng)會自動將訪問記錄寫入到日志文件中，利用這個機(jī)制，有可能會將代碼寫入到日志中。例如，利用一個包含PHP反彈shell的URL訪問目標(biāo)系統(tǒng)時，目標(biāo)系統(tǒng)會返回一個404頁面，并將創(chuàng)建一個apache的訪問記錄，記錄中會包含之前的PHP反彈shell。利用之前已經(jīng)發(fā)現(xiàn)的文件包含漏洞，可以解析apache的日志文件，從而執(zhí)行日志中的PHP反彈shell。

在將源代碼導(dǎo)入到目標(biāo)系統(tǒng)的日志文件之后，下一步就是確定日志文件的位置。在對WEB服務(wù)器進(jìn)行滲透測試的偵察和發(fā)現(xiàn)階段，通常我們都會通過掃描來收集目標(biāo)系統(tǒng)的信息，一個好的出發(fā)點(diǎn)是查找被識別的操作系統(tǒng)和WEB服務(wù)器的默認(rèn)日志路徑。結(jié)合“Burp intruder”和“FuzzDB的Burp LFI載荷列表”，我們可以很快在目標(biāo)系統(tǒng)中識別出有效的日志文件位置。

下面是一些常用的、在linux或UNIX上對外開放的服務(wù)：Apache/Nginx

可以使用netcat將代碼注入到WEB服務(wù)器訪問或錯誤日志中，然后通過之前發(fā)現(xiàn)的LFI漏洞，解析本地的日志文件。如果WEB服務(wù)器的日志文件太長，執(zhí)行你的代碼可能需要一些時間。

通過郵件給目標(biāo)機(jī)器發(fā)送一個反彈shell

如果目標(biāo)機(jī)器直接或通過網(wǎng)絡(luò)上的另一臺機(jī)器轉(zhuǎn)發(fā)電子郵件，并將郵件存儲在系統(tǒng)的www-data用戶下(或者其它apache的用戶)，通過電子郵件給目標(biāo)發(fā)送一個反彈shell是完全有可能的。如果域名不存在MX記錄，但是SMTP對外可以訪問，那么就有可能連接到目標(biāo)郵件服務(wù)器，并向www-data/apache用戶發(fā)送郵件。郵件要發(fā)送到當(dāng)前正在運(yùn)行apache的用戶上，這才能確保用戶帳戶有權(quán)限訪問到該用戶的郵件數(shù)據(jù)目錄，及數(shù)據(jù)中注入的PHP反彈shell。在該實(shí)例中，用戶帳戶是www-data，郵件目錄是/var/spool/mail/www-data。

在實(shí)際攻擊中，首先使用一個已知的UNIX/LINUX帳戶名稱列表來對目標(biāo)系統(tǒng)進(jìn)行枚舉，如下：

如上圖：使用smtp-user-enum腳本確認(rèn)www-data用戶帳戶存在于系統(tǒng)中。

下面的圖片顯示通過telnet給www-data用戶發(fā)送郵件的過程：

下圖顯示的www-data郵件脫機(jī)文件中含有被發(fā)送過去的PHP反彈shell代碼。

利用netcat監(jiān)聽本地80端口，用于目標(biāo)系統(tǒng)中PHP反彈SHELL的回連，如下圖，PHP SHELL成功反彈：

參考

https://highon.coffee/blog/lfi-cheat-sheet/

https://www.owasp.org/index.php/PHP_File_Inclusion

DVWA(用于LFI實(shí)例):http://www.dvwa.co.uk/