سرفصل‌های آموزشی
آموزش آسیب پذیری LFI
تکنیک استفاده از دایرکتوری  proc/ در لینوکس

تکنیک استفاده از دایرکتوری proc/ در لینوکس

سلامی گرم از فصل جدید سریال LFI به شما دنبال کنندگان عزیز! 😊 با آرزوی سلامتی و حال خوب، در اپیزود اول فصل جدید سریال LFI در خدمت شما هستیم! در این اپیزود با هم خواهیم آموخت که چگونه می‌توان با استفاده از فایل‌هایی که در دایرکتوری proc/  در لینوکس هستند، مثل بنز از آسیب پذیری LFI استفاده کرد! 😉

در این قسمت از سریال قرار است که با هم روش استفاده از فایل‌های موجود در دایرکتوری proc/ لینوکس برای تجربه یک LFI هیجانی را بیاموزیم. در ابتدا باید بدانیم که دایرکتوری proc/ در لینوکس چه وظیفه‌ای دارد؟  دایرکتوری proc/ در لینوکس در واقع یک فایل سیستم مجازی است که هر بار سیستم لینوکسی روشن می‌شود ایجاد می‌شود و هر موقع که سیستم خاموش شد از بین می‌رود. این فایل سیستم مجازی، اطلاعات و فایل‌های لازم برای پروسه های در حال اجرا در لینوکس را نگه داری می‌کند و به عنوان مرکز اطلاعات و کنترل کرنل شناخته می‌شود. بنابراین همان‌طور که احتمالا شما هم حدس زدید، اطلاعات خیلی با ارزشی از سرویس‌ها و نرم‌افزارهای در حال اجرای سیستم را می‌توان از داخل این دایرکتوری پیدا و استفاده کرد. با ما در این اپیزود همراه باشید تا دو نمونه از این فایل ها را بررسی کنیم و کمبود هیجان بدنمان را کمی جبران کنیم! 😉

روش   proc/self/environ/

اگر در پارامتری که آسیب پذیر به LFI است آدرس فایل proc/self/environ/ را وارد کنیم و این فایل قابل خواندن باشد محتوای فایل مانند مثال زیر نمایش داده می‌شود که در آن User Agent مروگر ما هم موجود است! 😊 احتمالاً الان یک لامپ بالای سر شما هم روشن شد و در چشمان شما هم مانند من، برقی خاص از دیدن User Agent در پاسخ سرور است! 😉

 

DOCUMENT_ROOT=/home/sirgod/public_html GATEWAY_INTERFACE=CGI/1.1 HTTP_ACCEPT=text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1 HTTP_COOKIE=PHPSESSID=134cc7261b341231b9594844ac2ad7ac HTTP_HOST=www.website.com HTTP_REFERER=http://www.website.com/index.php?view=../../../../../../etc/passwd HTTP_USER_AGENT=Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.00 PATH=/bin:/usr/bin QUERY_STRING=view=..%2F..%2F..%2F..%2F..%2F..%2Fproc%2Fself%2Fenviron REDIRECT_STATUS=200 REMOTE_ADDR=6x.1xx.4x.1xx REMOTE_PORT=35665 REQUEST_METHOD=GET REQUEST_URI=/index.php?view=..%2F..%2F..%2F..%2F..%2F..%2Fproc%2Fself%2Fenviron SCRIPT_FILENAME=/home/sirgod/public_html/index.php SCRIPT_NAME=/index.php SERVER_ADDR=1xx.1xx.1xx.6x SERVER_ADMIN=webmaster@website.com SERVER_NAME=www.website.com SERVER_PORT=80 SERVER_PROTOCOL=HTTP/1.0 SERVER_SIGNATURE=

Apache/1.3.37 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at www.website.com Port 80

 

حال می‌توانیم با استفاده از burpsuite و استفاده از بخش repeater، در قسمت هدر useragent درخواست، یک قطعه کد php قرار دهیم و با دسترسی به آدرس آسیب پذیری LFI   و با  قرار دادن  آدرس proc/self/environ/  در پارامتر آسیب پذیر، کد PHP را اجرا کنیم. این روش البته در نسخه‌های جدید لینوکس تقریباً غیر قابل استفاده شده و لذت یک LFI هیجانی با پارامتری از مرورگر را از ما گرفته است!  ☹

 

روش استفاده از دایرکتوری  proc/self/fd/

در دایرکتوری proc/self/fd/ یک سری فایل ساخته می‌شود که در واقع symbolic link هایی هستند که توسط پروسه های اجرا شده باز شده‌اند. این symbolic link ها که در لینوکس، حکم shortcut در ویندوز را دارند، نام‌های عددی دارند و در بیشتر مواقع به فایل‌های مهمی‌مانند فایل لاگ access آپاچی و ... اشاره می‌کنند. برای مثال فایل‌های زیر نمونه هایی از فایل‌هایی هستند که ممکن است در این دایرکتوری ببینید:

 

/proc/self/fd/1

/proc/self/fd/2

/proc/self/fd/3

/proc/self/fd/4

/proc/self/fd/5

 

اگر در صفحه‌ای که آسیب پذیر به LFI است آدرس یکی از فایل‌های بالا را بدهیم در این صورت اگر فایل قابل خواندن باشد و symlink ای به یکی از فایل‌های لاگ مانند لاگ access آپاچی باشد، محتوای آن را به ما نشان می‌دهد.(توجه داشته باشید که این مورد در ورژن های جدید قابل انجام نیست.)

 

در این صورت به آسانی مشابه روش آلوده کردن فایل لاگ access درapache، می‌توانیم با استفاده از burp یک درخواست شامل کد php به آن ارسال کنیم و با باز کردن دوباره صفحه آسیب پذیر و قرار دادن آدرس proc/self/fd/number/ در پارامتر آسیب پذیر، محتوای این فایل را include  کرده و کد php را اجرا کنیم. برای یافتن این فایل‌های لاگ باید ابتدا توانایی خواندن این فایل ها را داشته باشیم و با استفاده از بخشintruder در نرم‌افزار Burpsuite عملیات Bruteforce را روی اعداد به صورت ترتیبی انجام دهیم و در نهایت به یک فایل لاگ مانند لاگ وب سرور آپاچی برسیم که بتوانیم کدی در داخل آن تزریق کرده و آن را اجرا کنیم.

 

برای مثال در تصویر زیر سایتی را می‌بینیم که  به نظر می‌رسد که آسیب پذیری LFI را در پارامتر page داشته باشد.

به سراغ تست آن می‌رویم و همانگونه که در تصویر زیر مشخص است مطمئن می شویم که سایت آسیب پذیر به LFI است.

حال برای پیدا کردن فایل‌های */proc/self/fd/ که وجود دارند و دسترسی خواندن آن‌ها را داریم به سراغ Burpsuite و قسمت intruder  آن می‌رویم و مانند تصویر زیر در تب Positions تنظیمات Position را انجام می‌دهیم.

سپس به تب Payloads می‌رویم مانند تصویر زیر و یک پیلود از نوع Brute forcer می‌سازیم که Character Set آن 0 تا 9 است و مینیمم طول آن 1 و ماکزیمم طول آن 3 است. (در بیشتر موارد با ماکزیمم 2 هم جواب میگیریم مگر این که با سیستمی با بار کاری بالا مواجه باشیم که وارد اعداد سه رقمی شویم)

در مرحله بعد به تب Options می‌رویم و مانند تصویر زیر، تعداد Thread ها را روی 5 تا تنظیم می‌کنیم:

حال پس از انجام عملیات و پیدا کردن آدرس فایل لاگ access مربوط به سایت خودمان  از میان فایل‌های fd پیدا شده، مانند تصویر زیر آن را در سایت از طریق پارامتر آسیب پذیر به LFI فراخوانی می‌کنیم و همانگونه که مشاهده می‌کنید، می‌توانیم log را بخوانیم.

برای آلوده سازی فایل  Log مانند تصویر زیر از یک تکه کد در URL استفاده می‌کنیم  و  درخواست GET را ارسال می‌کنیم تا در داخل فایل لاگ access ذخیره شود. در ادامه نحوه عملکرد قطعه کد را توضیح می‌دهیم.

در قطعه کد زیر در واقع هر چیزی که در داخل تابع  ()system  قرار بگیرد در خط فرمان سیستم‌عامل اجرا می‌شود. مثلاً اگر در داخل این تابع رشته ی ls را قرار دهیم لیست فایل‌های موجود در دایرکتوری را به ما نمایش می‌دهد. حال هدف ما این است که دستور را هر دفعه توسط یک متغیر به آن بدهیم، بنابراین در داخل این تابع از عبارت GET['cmd']_$  استفاده می‌کنیم تا هر بار با ایجاد یک متغیر GET با نام cmd در URL بتوانیم دستور دلخواه را در این متغیر قرار داده و اجرا کنیم.

 

<?php system($_GET['cmd']);  /*

 

هدف از قرار دادن */ در انتهای کد  اشاره شده، این است که بقیه عبارت های نوشته شده در داخل فایل لاگ access را کامنت کنیم و بدین روش از بروز خطاهای اجرایی در کد php جلوگیری کنیم. حال مانند تصویر زیر پس از وارد کردن کد در داخل فایل لاگ access، متغیر را با یک دستور سیستمی ارسال می‌کنیم تا متوجه کارایی کد شویم.

همانگونه که در تصویر بالا مشاهده می‌کنید با قرار دادن دستور  ls -la در داخل متغیر cmd این دستور اجرا شده و در پایین این تصویر لیست فایل‌های موجود را مشاهده می‌کنید.

 حال که می‌توانیم دستور اجرا کنیم، می‌توانیم با دستور curl یک شل نوشته شده به زبان php را که در یک سایت آنلاین به صورت text موجود است را در یک فایل در داخل دایرکتوری tmp/ ذخیره کنیم. به عنوان مثال می‌توانیم یک شل PHP را در سایت Pastebin اپلود کنیم و مانند تصویر زیر با استفاده از دستور curl فایل شل را با پسوند log. در داخل tmp/ دانلود و با نام black.log ذخیره کنیم.

حال مانند تصویر زیر می‌توانیم با استفاده از LFI فایل Shell را مستقیماً فراخوانی و استفاده کنیم.

این روش نیز در نسخه‌های جدید بسته شده است اما بسته به تنظیمات می‌تواند قابل استفاده باشد و خبر خوش این است که این روش نسبت به روش قبلی روی نسخه‌های بیشتری کار می‌کند! 😉

در این اپیزود از سریال آموختیم که دایرکتوری proc/ در لینوکس چه وظیفه‌ای دارد و چگونه فایل‌های موجود در آن برای استفاده از آسیب پذیری LFI و تبدیل آن به RCE به ما کمک می‌کنند. اگر فایل دیگری در این دایرکتوری می شناسید که می‌توان از آن مانند روش بالا استفاده کرد یا روش خلاقانه مشابهی دارید در قسمت نظرات منتظر شما هستیم! 😊 در اپیزود بعدی یک روش ترکیبی را با هم خواهیم دید تا تصور شما از نهایت شیطانی بودن ذهن در استفاده از آسیب پذیری LFI را به هم بریزیم!  😉

تا قسمت بعدی بدرود!

online-support-icon