LFI to RCE 漏洞利用技术详解<\/h1>

一、漏洞背景<\/h2>
本文基于[HITCON CTF 2018]One Line PHP Challenge题目环境，分析如何从本地文件包含(LFI)漏洞实现远程代码执行(RCE)。题目环境为Ubuntu 18.04 + PHP 7.2 + Apache。<\/p>

二、漏洞代码分析<\/h2>

题目源码极为简洁：<\/p>

<?<\/span>php<\/span>
<\/span><\/span>($_ =<\/span> @<\/span>$_GET['orange'<\/span>]) &&<\/span> @<\/span>substr<\/span>(file<\/span>($_)[0<\/span>], 0<\/span>, 6<\/span>) ===<\/span> '@<?php'<\/span> ?<\/span> include<\/span>($_) :<\/span> highlight_file<\/span>(__FILE__<\/span>);
<\/span><\/span><\/code><\/pre>代码逻辑：<\/p>

检查是否存在orange<\/code>参数<\/li>
读取该参数指定的文件内容<\/li>
检查文件前6个字符是否为@<?php<\/code><\/li>
如果满足条件则包含该文件，否则显示源码<\/li>
<\/ol>
三、漏洞利用思路<\/h2>
1. 文件上传机制<\/h3>
PHP处理文件上传时：<\/p>

文件流会被保存到临时目录<\/li>
文件名格式：php[0-9A-Za-z]{3,6}<\/code><\/li>
文件存活周期：

PHP正常结束且文件未被移动\/重命名：请求结束后删除<\/li>
PHP非正常结束(如崩溃)：文件永久保留<\/li>
正常情况下临时文件存活时间约30秒<\/li>
<\/ul>
<\/li>
<\/ul>
2. 利用方法<\/h3>
方法一：暴力破解<\/h4>
在30秒内猜测临时文件名，但概率极低(1\/2176782336)<\/p>
方法二：使PHP崩溃<\/h4>
通过特定POC使PHP崩溃，使临时文件永久保留，从而有足够时间爆破<\/p>
四、技术细节分析<\/h2>
1. 崩溃POC<\/h3>
php<\/span>:\/\/<\/span>filter<\/span>\/<\/span>convert<\/span>.<\/span>quoted<\/span>-<\/span>printable<\/span>-<\/span>encode<\/span>\/<\/span>resource<\/span>=<\/span>data<\/span>:\/\/<\/span>,%<\/span>bfAAAAAAAAAAAAAAAAAAAAAAA<\/span>%<\/span>ff<\/span>%<\/span>ff<\/span>%<\/span>ff<\/span>%<\/span>ff<\/span>%<\/span>ff<\/span>%<\/span>ff<\/span>%<\/span>ff<\/span>%<\/span>ffAAAAAAAAAAAAAAAAAAAAAAAA<\/span>
<\/span><\/span><\/code><\/pre>2. PHP底层漏洞分析<\/h3>
漏洞位于php-src\/ext\/standard\/filters.c<\/code>中的PHP_CONV_ERR_TOO_BIG<\/code>错误处理：<\/p>
case<\/span> PHP_CONV_ERR_TOO_BIG: {
<\/span><\/span>    char<\/span> *<\/span>new_out_buf;
<\/span><\/span>    size_t new_out_buf_size;
<\/span><\/span>    new_out_buf_size =<\/span> out_buf_size <<<\/span> 1<\/span>;
<\/span><\/span>    
<\/span><\/span>    if<\/span> (new_out_buf_size <<\/span> out_buf_size) {
<\/span><\/span>        \/\/ 处理逻辑
<\/span><\/span><\/span><\/span>    } else<\/span> {
<\/span><\/span>        new_out_buf =<\/span> perealloc(out_buf, new_out_buf_size, persistent);
<\/span><\/span>        \/\/ 内存分配会倍增，导致过大
<\/span><\/span><\/span><\/span>    }
<\/span><\/span>    break<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>关键问题：<\/p>

当输入字符串包含ASCII>126的字符时进入特定分支<\/li>
lbchars_len<\/code>变量未初始化<\/li>
通过控制lbchars_len<\/code>值可导致整数溢出<\/li>
最终导致段错误(segfault)使PHP崩溃<\/li>
<\/ol>
3. 相关CVE<\/h3>
CVE-2016-7125<\/strong>：<\/p>

影响版本：

PHP 5.x < 5.6.25<\/li>
PHP 7.x < 7.0.10<\/li>
<\/ul>
<\/li>
漏洞描述：ext\/session\/session.c<\/code>中错误解析会话名称，允许通过控制会话注入任意会话数据<\/li>
<\/ul>
五、漏洞利用步骤<\/h2>

上传恶意文件<\/li>
使用POC使PHP崩溃：
file<\/span>(urldecode<\/span>('php:\/\/filter\/convert.quoted-printable-encode\/resource=data:\/\/,%bfAAAAAAAAFAAAAAAAAAAAAAA%ff%ff%ff%ff%ff%ff%ff%ffAAAAAAAAAAAAAAAAAAAAAAAA'<\/span>));
<\/span><\/span><\/code><\/pre><\/li>
临时文件被永久保留<\/li>
爆破临时文件名<\/li>
通过LFI包含临时文件实现RCE<\/li>
<\/ol>
六、防御措施<\/h2>

升级PHP版本<\/li>
禁用危险函数和协议<\/li>
对文件包含操作进行严格校验<\/li>
设置open_basedir<\/code>限制文件访问范围<\/li>
避免使用用户输入直接作为文件路径<\/li>
<\/ol>
七、影响版本测试<\/h2>
经测试，以下版本受影响：<\/p>

PHP 7.1.3<\/li>
PHP 5.6.28<\/li>
<\/ul>
PHP 7.4及以上版本不受此漏洞影响。<\/p>
八、总结<\/h2>
该漏洞利用链结合了：<\/p>

PHP文件上传机制<\/li>
过滤器内存处理缺陷<\/li>
临时文件保留特性<\/li>
本地文件包含漏洞<\/li>
<\/ol>
通过精心构造的输入触发PHP崩溃，绕过临时文件删除机制，最终实现从LFI到RCE的转换。<\/p>

LFI to RCE 漏洞利用技术详解<\/h1>

一、漏洞背景<\/h2> 本文基于[HITCON CTF 2018]One Line PHP Challenge题目环境，分析如何从本地文件包含(LFI)漏洞实现远程代码执行(RCE)。题目环境为Ubuntu 18.04 + PHP 7.2 + Apache。<\/p>

三、漏洞利用思路<\/h2>

2. 利用方法<\/h3>

方法一：暴力破解<\/h4> 在30秒内猜测临时文件名，但概率极低(1\/2176782336)<\/p>

方法二：使PHP崩溃<\/h4> 通过特定POC使PHP崩溃，使临时文件永久保留，从而有足够时间爆破<\/p>

四、技术细节分析<\/h2>

一、漏洞背景<\/h2>
本文基于[HITCON CTF 2018]One Line PHP Challenge题目环境，分析如何从本地文件包含(LFI)漏洞实现远程代码执行(RCE)。题目环境为Ubuntu 18.04 + PHP 7.2 + Apache。<\/p>

方法一：暴力破解<\/h4>
在30秒内猜测临时文件名，但概率极低(1\/2176782336)<\/p>

方法二：使PHP崩溃<\/h4>
通过特定POC使PHP崩溃，使临时文件永久保留，从而有足够时间爆破<\/p>