mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
98 lines
5.9 KiB
Markdown
98 lines
5.9 KiB
Markdown
# LFI2RCE via Eternal waiting
|
||
|
||
{{#include ../../banners/hacktricks-training.md}}
|
||
|
||
## 基本信息
|
||
|
||
默认情况下,当文件上传到 PHP(即使它不期望这样做)时,它将在 `/tmp` 中生成一个临时文件,名称类似于 **`php[a-zA-Z0-9]{6}`**,尽管我见过一些 docker 镜像生成的文件不包含数字。
|
||
|
||
在本地文件包含中,**如果你设法包含那个上传的文件,你将获得 RCE**。
|
||
|
||
请注意,默认情况下 **PHP 只允许在单个请求中上传 20 个文件**(在 `/etc/php/<version>/apache2/php.ini` 中设置):
|
||
```
|
||
; Maximum number of files that can be uploaded via a single request
|
||
max_file_uploads = 20
|
||
```
|
||
此外,**潜在文件名的数量为 62\*62\*62\*62\*62\*62 = 56800235584**
|
||
|
||
### 其他技术
|
||
|
||
其他技术依赖于攻击 PHP 协议(如果您只控制路径的最后部分,则无法进行攻击)、披露文件路径、滥用预期文件,或**使 PHP 遭受分段错误,以便上传的临时文件不会被删除**。\
|
||
这种技术**与最后一种非常相似,但不需要找到零日漏洞**。
|
||
|
||
### 永久等待技术
|
||
|
||
在这种技术中,**我们只需要控制一个相对路径**。如果我们设法上传文件并使**LFI 永远不会结束**,我们将有“足够的时间”来**暴力破解上传的文件**并**找到**任何已上传的文件。
|
||
|
||
**这种技术的优点**:
|
||
|
||
- 您只需控制包含中的相对路径
|
||
- 不需要 nginx 或意外的访问日志文件的级别
|
||
- 不需要零日漏洞来导致分段错误
|
||
- 不需要路径披露
|
||
|
||
这种技术的**主要问题**是:
|
||
|
||
- 需要特定的文件存在(可能还有更多)
|
||
- **潜在文件名的数量惊人**:**56800235584**
|
||
- 如果服务器**不使用数字**,则总潜在数量为:**19770609664**
|
||
- 默认情况下,**每个请求只能上传 20 个文件**。
|
||
- 使用的服务器的**最大并行工作者数量**。
|
||
- 这个限制与之前的限制可能会使攻击持续太久
|
||
- **PHP 请求的超时**。理想情况下,这应该是永恒的,或者应该在不删除临时上传文件的情况下终止 PHP 进程,否则这也会很麻烦
|
||
|
||
那么,您如何**使 PHP 包含永远不会结束**?只需包含文件**`/sys/kernel/security/apparmor/revision`**(**在 Docker 容器中不可用**,不幸的是...)。
|
||
|
||
只需调用:
|
||
```bash
|
||
php -a # open php cli
|
||
include("/sys/kernel/security/apparmor/revision");
|
||
```
|
||
## Apache2
|
||
|
||
默认情况下,Apache 支持 **150 个并发连接**,根据 [https://ubiq.co/tech-blog/increase-max-connections-apache/](https://ubiq.co/tech-blog/increase-max-connections-apache/) 的信息,可以将这个数字提升到 8000。按照此方法使用 PHP 和该模块: [https://www.digitalocean.com/community/tutorials/how-to-configure-apache-http-with-mpm-event-and-php-fpm-on-ubuntu-18-04](https://www.digitalocean.com/community/tutorials/how-to-configure-apache-http-with-mpm-event-and-php-fpm-on-ubuntu-18-04)。
|
||
|
||
默认情况下,(根据我的测试)**PHP 进程可以永远存在**。
|
||
|
||
让我们做一些数学计算:
|
||
|
||
- 我们可以使用 **149 个连接** 来生成 **149 \* 20 = 2980 个临时文件**,通过我们的 webshell。
|
||
- 然后,使用 **最后一个连接** 来 **暴力破解** 潜在文件。
|
||
- 以 **10 个请求/秒** 的速度,时间为:
|
||
- 56800235584 / 2980 / 10 / 3600 \~= **530 小时**(265 小时有 50% 的机会)
|
||
- (不带数字)19770609664 / 2980 / 10 / 3600 \~= 185 小时(93 小时有 50% 的机会)
|
||
|
||
> [!WARNING]
|
||
> 请注意,在前面的例子中,我们正在 **完全 DoS 其他客户端**!
|
||
|
||
如果 Apache 服务器得到改善,我们可以滥用 **4000 个连接**(达到最大数量的一半)。我们可以创建 `3999*20 = 79980` **个文件**,并且 **时间** 将 **减少** 到大约 **19.7 小时** 或 **6.9 小时**(10 小时,3.5 小时有 50% 的机会)。
|
||
|
||
## PHP-FMP
|
||
|
||
如果不是使用常规的 php 模块来运行 PHP 脚本,而是 **网页使用** **PHP-FMP**(这提高了网页的效率,因此常见),还有其他方法可以改进该技术。
|
||
|
||
PHP-FMP 允许在 **`/etc/php/<php-version>/fpm/pool.d/www.conf`** 中 **配置** **参数** **`request_terminate_timeout`**。\
|
||
该参数指示 **请求 PHP 时必须终止的最大秒数**(默认无限制,但 **如果参数未注释则为 30 秒**)。当 PHP 正在处理请求时,达到指定的秒数后,它会被 **终止**。这意味着,如果请求正在上传临时文件,因为 **PHP 处理被停止**,那些 **文件不会被删除**。因此,如果您能让请求持续那么长时间,就可以 **生成成千上万的临时文件**,这些文件不会被删除,这将 **加快查找它们的过程**,并减少通过消耗所有连接对平台造成 DoS 的可能性。
|
||
|
||
因此,为了 **避免 DoS**,假设 **攻击者将同时使用 100 个连接**,而 php-fmp 的最大处理时间 **(`request_terminate_timeout`**) 为 **30 秒**。因此,每秒可以生成的 **临时文件** 数量为 `100*20/30 = 66.67`。
|
||
|
||
然后,攻击者需要 **`10000/66.67 = 150s`** 来生成 **10000 个文件**(生成 **100000 个文件** 的时间为 **25 分钟**)。
|
||
|
||
然后,攻击者可以使用这 **100 个连接** 来执行 **暴力搜索**。假设速度为 300 req/s,利用此漏洞所需的时间如下:
|
||
|
||
- 56800235584 / 10000 / 300 / 3600 \~= **5.25 小时**(2.63 小时有 50% 的机会)
|
||
- (有 100000 个文件)56800235584 / 100000 / 300 / 3600 \~= **0.525 小时**(0.263 小时有 50% 的机会)
|
||
|
||
是的,可以在 EC2 中等大小的实例中生成 100000 个临时文件:
|
||
|
||
<figure><img src="../../images/image (240).png" alt=""><figcaption></figcaption></figure>
|
||
|
||
> [!WARNING]
|
||
> 请注意,为了触发超时,**只需包含易受攻击的 LFI 页面**,使其进入一个永恒的包含循环。
|
||
|
||
## Nginx
|
||
|
||
默认情况下,Nginx 似乎支持 **512 个并行连接**(这个数字可以提高)。
|
||
|
||
{{#include ../../banners/hacktricks-training.md}}
|