从本地文件包含（LFI）到远程代码执行（RCE）

发现测试目标的cookie是如下形式：

Cookie：PHPSESSID=

PHPSESSID cookie 是 PHP 原生的，使网站能够存储序列化的状态数据。用于建立用户会话，通常以 Base64 编码。

使用python对其进行base64解码：

解码后是序列化的一个对象，其中 ”s：15“ 是/www/index.html 字符串的长度。如果用 /etc/passwd 替换 /www/index.html 看看会发生什么？

使用 Python重新编码后发送请求，成功获取到了passwd 文件内容。

到此可以证明这是一个LFI 漏洞，接下来进一步提升危害，看能否执行远程代码，从LFI到 RCE 的最简单方法是通过日志注入。

日志注入是一种允许攻击者篡改日志文件内容的技术，例如将恶意代码插入服务器日志以远程执行命令或获取反弹shell。

测试反弹shell失败了，因此尝试执行“ls -lsa” 这个命令，列出一个目录来证明RCE漏洞存在。

由于LFI 漏洞只允许我们读取/执行文件，而不能写入或创建新文件。那么我们将如何注入代码呢？我们可以通过将访问日志添加到服务器中的方法来实现。

首先，我们需要知道正在运行的Server：

返回是nginx的！访问日志文件默认存储在：/var/log/nginx/access.log

首先，看看是否可以使用 Python 脚本访问日志文件：

很好，确实有！日志每一行中都包含用户的“User-Agent”，现在，让我们看看是否可以使用标头“User-Agent”添加日志。

在Python 脚本中，修改“User-Agent”为：

headers = {'User-Agent': 'Facundo Fernandez'}

返回日志中可以看到，“User-Agent”修改成功了：

那么修改“User-Agent”为PHP代码呢，调用system函数：

headers = {'User-Agent': "<?php system('ls -lsa');?>"

远程代码执行成功！system函数执行结果被写入到日志文件中了。

原文始发于微信公众号（薯条机器猫）：从本地文件包含（LFI）到远程代码执行（RCE）