在这篇博文中,我将为大家演示如何利用PHP应用中的远程文件包含漏洞的技术。我们将绕过php远程文件包含的限制,并执行RFI的利用,即使PHP环境被配置为不包含来自远程HTTP/FTP URL的文件。
PHP 和 SMB 共享文件访问
在PHP配置文件中,“allow_url_include”wrapper默认设置为“Off”,指示PHP不加载远程HTTP或FTP URL,从而防止远程文件包含攻击。但是,即使“allow_url_include”和“allow_url_fopen”都设置为“Off”,PHP也不会阻止加载SMB URL。而这就极有可能被滥用来从SMB共享加载远程托管的PHP Web shell。
攻击场景概述
当易受攻击的PHP应用程序代码尝试从受攻击者控制的SMB共享加载PHP Web shell时,SMB共享应允许访问该文件。攻击者需要在其上配置具有匿名浏览访问权限的SMB服务器。因此,一旦易受攻击的应用程序尝试从SMB共享访问PHP Web shell,SMB服务器将不会要求任何的凭据,易受攻击的应用程序将包含Web shell的PHP代码。
首先,我重新配置了PHP环境,并在php.in i文件中禁用了“allow-url-fopen”和“allow-url-include”。之后,配置了具有匿名浏览访问的SMB服务器。一旦SMB共享准备就绪,我们就可以利用易受攻击的应用程序了。
PHP 环境设置
将托管易受攻击代码的机器上的“allow_url_fopen”和“allow_url_include”设置为“Off”
以下是版本为“5.5.11”的PHP当前配置截图:
在继续下一步之前,让我们确保当我们尝试访问HTTP上托管的Web shell时,PHP代码不允许远程文件包含。
可以看到,当我试图从远程主机包含PHP Web shell时,应用程序抛出错误并且没有包含远程文件。
使用匿名浏览访问配置 Samba 服务器(Linux 机器)
使用以下命令安装Samba服务器:
apt-get install samba创建SMB共享目录:
mkdir /var/www/html/pub/
配置新创建的SMB共享目录的权限:
chmod 0555 /var/www/html/pub/ chown -R nobody:nogroup /var/www/html/pub/
运行以下命令,删除SAMBA服务器配置文件的默认内容。
echo > /etc/samba/smb.conf将以下内容添加到/etc/samba/smb.conf文件。