文件包含漏洞

已于 2024-09-30 14:11:21 修改
阅读量744 收藏 22
点赞数 8
文章标签: php 文件上传漏洞
于 2024-09-30 14:11:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61858762/article/details/142655372
版权

目录

文件包含漏洞概述

文件包含漏洞的环境要求

常见文件包含函数

php的伪协议

file://协议

php://filter协议

php://input协议

压缩伪协议

zip://协议

bzip://

zlib://

data://协议

总结

文件包含漏洞概述

通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。

文件包含漏洞的环境要求

  • allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据

  • allow_url_include=On(php5.2之后默认为Off) 规定是否允许include/require远程文件

常见文件包含函数

php中常见的文件包含函数有以下四种:

  • include()

  • require()

  • include_once()

  • require()_once()

include与require基本是相同的,除了错误处理方面:

  • include(),只生成警告(E_WARNING),并且脚本会继续

  • require(),会生成致命错误(E_COMPILE_ERROR)并停止脚本

  • include_once()与require()_once(),如果文件已包含,则不会包含,其他特性如上

php的伪协议

先了解下一些封装协议,涉及的相关协议:file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、data://等内容。

注意如果直接访问一个写有<?php phpinfo(); ?>的txt文件,一般是解析不了的。

但是如果我们以文件包含来运行,是可以正常识别的.因为文件包含会将所以的内容全部识别为php文件进行执行。

file://协议

file:// 用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响。

即在php.ini的两个参数allow_url_fopen:off/onallow_url_include:off/on如果限制,即两个参数都为OFF,我们依然可以使用这个伪协议去读取文件,前提是需要知道文件的物理路径。

我们也可以在后面加上网站地址的文件http://网络路径和文件名

php://filter协议

php:// 访问各个输入/输出流(I/O streams),在CTF中经常使用的是php://filter和php://input,php://filter用于读取源码,php://input用于执行php代码。详细请参考官方的php://filter协议

这个协议在php.ini的两个参数allow_url_fopen:off/onallow_url_include:off/on如果限制,即两个参数都为OFF,我们依然可以使用这个伪协议。

php://filter 读取源代码并进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了。

<span style="background-color:#f8f8f8"><span style="color:#333333"> ?file=php://filter/read=convert.base64-encode/resource=./1.php
 一个点表示当前目录下</span></span>

php://input协议

可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。并且可以接收数据。可以接收文件。

这个存在限制需要PHP.ini配置文件中的参数allow_url_fopen :off/onallow_url_include:on中的allow_url_include参数保持开启。一般情况下默认是关闭的。

通过burpsuite抓包软件演示如下,很容易写一句话木马<?php fputs(fopen(“shell.php”,”w”),’<?php eval($_POST["cmd"];?>’);?>

压缩伪协议

zip://, bzip2://, zlib://均属于压缩流,可以访问压缩文件中的子文件,更重要的是不需要指定后缀名。这几个协议在php.ini的两个参数allow_url_fopen:off/onallow_url_include:off/on如果限制,即两个参数都为OFF,我们依然可以使用。

具体请参考官方文档zlib://、bzip2://、zip://

zip://协议

使用方法:

zip://archive.zip#dir/file.txt
 zip:// [压缩文件绝对路径]#[压缩文件内的子文件名]

先将要执行的PHP代码写好文件名为phpcode.txt,将phpcode.txt进行zip压缩,压缩文件名为file.zip,如果可以上传zip文件便直接上传,若不能便将file.zip重命名为file.jpg后在上传,其他几种压缩格式也可以这样操作。

由于#在get请求中会将后面的参数忽略所以使用get请求时候应进行url编码为%23,且此处经过测试相对路径是不可行,所以只能用绝对路径。

压缩文件后缀可以修改,修改后上传。但是要注意对文件直接压缩,不要直接连着目录压缩,否则会多一个目录。

bzip://

使用方法:

compress.bzip2://file.bz2

测试现象:

使用的时候格式如下?file=compress.bzip2://./file.jpg

zlib://

使用方法:

compress.zlib://file.gz

测试现象:

使用的时候格式如下?file=compress.zlib://D:/soft/phpStudy/WWW/file.jpg

data://协议

经过测试官方文档上存在一处问题,经过测试PHP版本5.2,5.3,5.5,7.0;data:// 协议是是受限于allow_url_fopen的,官方文档上给出的是NO,所以要使用data://协议需要满足双on条件.

利用条件相当苛刻,基本上使用不到。

参考自:PHP: data:// - Manual, 官方文档上allow_url_fopen应为yes。

总结

PHP封装协议在CTF蛮常见的,是经常会遇到的出题点。

空暝
关注
文件包含漏洞全面详解
m0_46467017的博客
08-17 6万+
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。...
文件包含漏洞实战
yuan_boss的博客
08-31 1709
可以看到,我们成功获取到了hosts文件,但是这并不能证明是文件包含漏洞,因为这仅仅是把hosts文件读取出来了,最多能确定的是文件读取漏洞,所以我们可以写一个把phpinfo.php放到www的一个目录中,我们尝试访问phpinfo.php,看看能否解析成功,解析成功了就说明是文件包含漏洞。我们仅仅可以使用文件包含漏洞,这个时候就需要考虑到php的一些封装协议了,利用封装协议,可以读取PHP文件源码,可以执行PHP命令。由上面的结果可知,我们利用php://input成功执行了php的命令。
文件包含漏洞详解
剁椒鱼头没剁椒的博客
12-01 4564
文件包含漏洞就是使用函数去包含任意文件的时候,当包含的文件来源过滤不严谨的时候,当存在包含恶意文件后,就可以通过这个恶意的文件来达到相应的目的。file : // #访问本地文件系统 http : // #访问HTTPs网址 ftp : // #访问ftp URL php : // #访问输入输出流 zlib : // #压缩流 data : // #数据 ssh2 : // #security shell2 expect : // #处理交互式的流 glob : // #查找匹配的文件路径。
文件包含漏洞-02】文件包含漏洞原理、简单测试实例以及空字符绕过实例
m0_64378913的博客
06-15 3140
概述:文件包含漏洞:即file inclusion,意思是文件包含,是指当服务器开启allow_url_include选项时,就可以通过PHP的某些特性函数(include(),require()和include_once(),requir_once())利用URL去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。定义:随着网站业务的需求,程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的
通达OA v11.8 getway.php 远程文件包含漏洞.md
09-07
通达OA漏洞合集
Web应用安全:文件包含漏洞简介.pptx
06-18
文件包含漏洞是Web应用安全领域中的一个重要话题,它主要源于开发者在编程时为了代码复用而采用的文件包含机制。这种机制允许程序动态地加载和执行存储在不同文件中的代码,但同时也为攻击者提供了可乘之机。下面将...
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)
03-05
CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名,这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞的存在使得攻击者有可能通过精心构造的请求,将恶意代码注入到Tomcat服务器上,从而执行任意...
[NewStarCTF 2023 公开赛道]Begin of PHP1
alwtj的博客
09-26 489
LEVEL5: 哈哈又是数组绕过,这里要输入的POST内容不能是字母和数字,所以我们可以用数组,当然也可以不用只要输入的value为真且不是正则表达是匹配到的范围就可以了,flag5=. ,或者flag5[]=love。LEVEL1: 因为hash函数无法解析数组会返回false,直接用数组绕过key1[]=1&key2[]=2。LEVEL4: 没错继续用数组绕过,is_numeric()无法解析数组会返回false,而且数组大于2023.至于为什么大于2023,我们来做个小实验.key5[]=5。
PHP反序列化2(OC绕过.wakeup绕过)
2302_81328699的博客
09-26 571
PHP反序列化2(OC绕过.wakeup绕过)
Thinkphp/Laravel基于vue的少数民族民歌网络图书馆管理系统
abo2022的博客
09-30 1119
ThinkPHP是一个快速、简单的基于MVC和面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,尤其注重开发体验和易用性,并且拥有众多的原创功能和特性,为WEB应用开发提供了强有力的支持Laravel非常的简洁并且是开源的,Laravel 是一个具有表现力、优雅语法的 Web 应用程序框架. Laravel 是构建现代全栈 Web 应用程序的最佳选择.
php socket客户端
qq_30754685的博客
09-30 262
在软件管理里面安装composer,再在网站管理安装扩展socket。使用的工具为phpstudy。
第168天:应急响应-ELK 日志分析系统&Yara规则&样本识别&特征提取&规则编写
weixin_71529930的博客
09-30 931
案例一:ELK 搭建使用-导入文件&监控日志&语法筛选该软件是专业分析日志的工具,但是不支持安全软件的分析这里我是在kali中搭建的搭建参考文章:(第一篇成功,第二篇呢可能是国外的docker关闭了未成功)(本地搭建)(docker搭建)安装完成的界面三种模式选择日志上传上传文件导入命名并导入上传完成以后去查看可以根据不同类别去分类查看IP时间戳ua头这里看到呢ua头有个sqlmap直接定位搜索特征字符不是单独出现,需要在前后加上*
php基础语法
liyy614的博客
09-27 1092
PHP(Hypertext Preprocessor)是一种广泛使用的开源服务器端脚本语言,特别适合用于Web开发。
PHP中对数组序列化和反序列化的函数
最新发布
sheji888的专栏
09-30 477
PHP中,对数组进行序列化和反序列化的函数分别是和。
使用php生成图片
f897907070的博客
09-24 825
/ 替换为实际字体文件路径' //注意直接跟图片地址就好。// 替换为你的保存路径。// $text = "dfsd代发收到";// 创建一个120x40的图像。// 设置内容类型为PNG。// 设置字体文件路径。
tauri中加载本地文件图片或者下载网络文件图片后存储到本地,然后通过前端页面展示
09-26 636
有一个需求是需要将本地上传的文件或者网络下载的文件存储到本地,并展示在前端页面上的。要想实现上述需求,需要三个步骤,配置相应的文件和文件夹访问权限,然后将文件存储到软件的相应目录中,再从目录中加载这个资源并展示。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值