利用lfi和phpinfo页面getshell

前言

在p神的小密圈里看到对lfi的利用，并使用vulhub搭建的环境，觉得思路清奇(当然需要扎实的php功底和网络知识)，记录下来复现过程。

原理

原理在https://github.com/vulhub/vulhub/tree/master/php/inclusion这里。大致原理如下

1. 我们如果向一个php的站post一个文件（包含文件区块），不论站点代码是否处理文件，都会在/tmp目录下生成一个临时文件，文件名为’php’+6位随机字符串。

2. 而phpinfo页面会包含一些全局变量(${}_{G}ET,$_POST,$_FILES…)，它会输出临时文件的文件名,借用资料里的一张图可能更加清楚。通过向phpinfo页面post文件能够找到临时文件名。当然我们向其他php页面post文件，也会产生临时存储文件，但不能直接看到文件名。
   

3. 此时通过文件包含漏洞包含临时文件执行恶意代码即可getshell。而问题是我们访问phpinfo页面后，再包含临时文件，临时文件已经被删除。此时利用条件竞争。

   1. 发送包含了webshell的上传数据包给phpinfo页面，这个数据包的header、get等位置需要塞满垃圾数据因为phpinfo页面会将所有数据都打印出来，1中的垃圾数据会将整个phpinfo页面撑得非常大
   2. php默认的输出缓冲区大小为4096，可以理解为php每次返回4096个字节给socket连接
   3. 所以，我们直接操作原生socket，每次读取4096个字节。只要读取到的字符里包含临时文件名，就立即发送第二个数据包
   4. 此时，第一个数据包的socket连接实际上还没结束，因为php还在继续每次输出4096个字节，所以临时文件此时还没有删除
   5. 利用这个时间差，第二个数据包，也就是文件包含漏洞的利用，即可成功包含临时文件，最终getshell

复现

1. vulhub部署完成后运行exp

   

2. check

   

3. exp.py其实就是通过socket多线程发送超长http数据包到phpinfo，之后匹配上传的临时文件名，包含文件后利用文件内file_put_ontents函数生成webshell。如何确定文件成功写入呢，其实写入的文件有特定字符，如果最后包含文件存在特殊字符，则文件写入成功。

4. 我们在脚本运行期间wireshark抓包看一下

   

   字符串A长度为5000

5. 看到在这里拿到文件名后包含文件