ToB企服应用市场:ToB评测及商务社交产业平台

标题: Web安全基础 - LFI Labs [打印本页]
作者: 石小疯    时间: 2022-11-28 18:08
标题: Web安全基础 - LFI Labs
Web安全基础 - LFI Labs

本实验来自于https://github.com/paralax/lfi-labs
做到一半了才发现BUUCTF上有,可以参考本篇做一下更有成就感
CMD

CMD-1

该关卡直接执行Get方法cmd对应的命令
  1. [/code][img]https://img2022.cnblogs.com/blog/2860856/202211/2860856-20221125222254133-22053178.png[/img]
  2. [size=4]CMD-2[/size]
  4. 和上题相似,接收参数方式换成POST请求
  5. [code]
复制代码

CMD-3

本实验应该在LNIUX环境下运行,我们要修改/usr/bin/whois为作用相近的nslookup
  1. [/code]补充一些常用的绕过方法
  2. [indent]cmd1|cmd2:不论cmd1是否为真,cmd2都会被执行;
  3. cmd1;cmd2:不论cmd1是否为真,cmd2都会被执行;
  4. cmd1||cmd2:如果cmd1为假,则执行cmd2;
  5. cmd1&&cmd2:如果cmd1为真,则执行cmd2;
  6. [/indent][img]https://img2022.cnblogs.com/blog/2860856/202211/2860856-20221125224910243-1264250768.png[/img]
  7. [size=4]CMD-4[/size]
  9. [code]
复制代码
Windows同样没有whois改代码可以用Docker创建。
在实验目录下运行docker-compose up记得开启Docker-Desktop来启动守护进程。

CMD-5
  1. [/code]本关先对域名进行解析,然后传参进入whois -h [server] [domain]
  2. 根据hint,不是所有的参数都要在文本框输入,我们可以通过控制server来进行RCE
  3. http://localhost:8080/CMD-5/?domain=facebook.com&server=127.0.0.1|whoami||
  4. [size=5]LFI部分[/size]
  6. 我们重点学习LFI的相关绕过
  7. [size=4]基础知识[/size]
  9. 文件包含漏洞就是利用文件包含函数,来实现信息泄露或代码注入等恶意操作。
  10. 文件包含的条件:
  11. [list=1]
  12. [*]allow_url_fopen=On (默认为 On) 规定是否允许从远程服务器或者网站检索数据
  13. [*]allow_url_include=On (php5.2 之后默认为 Off) 规定是否允许 include/require 远程文件
  14. [/list]两个配置选项均需要为On,才能远程包含文件(RFI)成功,由于危害较大,所以常见的是LFI。
  15. [size=4]LFI-1[/size]
  17. [code]
复制代码
最简单的文件包含,基本原理是include会将文件作为php文件来解释。
在docker里面创建要包含的文件
  1. root@lfiweb:/var/www/html# cat payload.php
复制代码
直接get请求包含即可http://localhost:8080/LFI-1/?page=../payload.php
LFI-2
  1. [/code]我的环境下LFI-2没有includes文件夹,创建后按照上一题的思路构造
  2. http://localhost:8080/LFI-2/?library=../../payload
  3. 这里涉及到了file://协议
  4. [indent]file:// 文件系统是 PHP 使用的默认封装协议,展现了本地文件系统。当指定了一个相对路径(不以/、、\或 Windows 盘符开头的路径)提供的路径将基于当前的工作目录。在很多情况下是脚本所在的目录,除非被修改了。使用 CLI 的时候,目录默认是脚本被调用时所在的目录。在某些函数里,例如 fopen() 和 file_get_contents(),include_path 会可选地搜索,也作为相对的路径。
  5. [/indent][size=4]LFI-3[/size]
  7. [code]
复制代码
file_get_contents() 函数是用来将文件的内容读入到一个字符串中的方法。
这里补充下其他常见的文件包含利用点
include():程序执行到才包含,遇到错误生成警告,继续执行脚本
require():程序运行起来立刻包含,遇到错误生成致命错误,脚本继续
include_once():如果文件已包含,则不再进行包含
require()_once():如果文件已包含,则不再进行包含
fopen(),file_get_contents()等:文件读取函数
根据源码,这里的后四位不能是.php
我学到的几种绕过方法如下,但是都是基于windows文件系统特性的绕过,docker搭建的环境下还是不会绕,又用回去phpstudy了(对不起我是废物)
<blockquote>
大小写绕过:php->PHp
空格绕过:php->php,这个得抓包后在hex中修改
加点饶工:php->php.
特殊字符绕过:php->php::$DATA
使用'.ph



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4