iwebsec靶场 文件包含漏洞通关笔记5-远程文件包含绕过

已于 2025-04-21 23:35:21 修改
阅读量1.7k 收藏 27
点赞数 27
分类专栏: iwebsec靶场 文章标签: web安全 iwebsec 文件包含漏洞 远程文件包含
于 2024-04-20 21:37:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyuan/article/details/128070881
版权

目录

前言

1.%00截断

2.问号截断

3.#号截断法

第05关 远程文件包含绕过

1.打开靶场

2.源码分析

3.00截断的条件

4.文件包含00截断绕过

5.问号截断

6.#号截断

前言

PHP的文件包含可以直接执行包含文件的代码,包含的文件格式是不收限制的,只要能正常执行即可。文件包含函数有include、include_once,require、require_once。他们之前的区别就是include遇到报错还会执行下面的代码,require则是会报错退出程序。

文件上传的截断绕过通常源码包含如下字段,比如说传入的参数filename=phpinfo.txt,那么include时会为文件名加上 .html后缀,于是include的文件名就变为了phpinfo.txt.html,这样会导致文件包含漏洞利用出现失败。于是如何进行漏洞渗透,使得此时渗透过程中即便传入的参数为phpinfo.txt,但是包含的文件仍为phpinfo.txt,这个后缀.html加不到后面,就可以绕过这个文件包含的过滤了。

    $filename  = $_GET['filename'];
    include($filename . ".html");

通常来讲文件包含的绕过方法为%00截断以及字符长度截断法。

1.%00截断

前提是php<5.3.4且  magic_quotes_gpc=off,原理是%00是被会url解码成0x00,如果遇到0x00,就会认为读取已结束,所以导致截断。

2.问号截断

这种阶段方法不受magic_quotes_gpc和PHP版本号的影响,值得注意的是此绕过仅对远程文件包含有效,webserver会把问号当作请求的参数,后面的内容自然就可以忽略,不过这种方法对本地文件包含并不生效。

3.#号截断法

在井号#后面添加html字符串,#会截断后面的扩展名,从而绕过过滤名的过滤

号要进行URL编码,这里要注意编码为%23

第05关 远程文件包含绕过

1.打开靶场

iwebsec 靶场漏洞库iwebsechttp://iwebsec.com:81/fi//05.php打开后靶场如下所示

2.源码分析

如下所示,源码包含include函数具备文件包含漏洞

<?php

  require_once('../header.php');
  ?>
<html>
	<head>
		<title>远程文件包含绕过</title>
	</head>
	<h2>远程文件包含绕过</h2>
		<div class="alert alert-success">
			<p>/05.php?filename=http://127.0.0.1/vuln/fi/test.txt%23 </p>
		</div>
	<body>
<?php
	if(isset($_GET['filename'])){
	
    $filename  = $_GET['filename'];
    include($filename . ".html");
	}else{
		exit();
	}
	
?>

这段代码与第02关内容一样,对filename的处理源码如下所示,是将文件名后加上.html的后缀,也就是如果filename=test.txt,那么include的文件未test.txt.html。

    $filename  = $_GET['filename'];
    include($filename . ".html");

就是说无论传入任意后缀的文件,尾部都会被加上.html后缀,那么考虑用%00截断方法,这样可以将后面的.html截断,include函数传入的参数仍为原始文件名。

0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。这个可以用在对文件类型名的绕过上。如果文件名为test.txt%00,尾部加上.html后缀后拼接后就是

test.txt%00.html

由于服务器在对文件读取时遇到%00时,会认为字符已经结束,于是文件名又变回了

test.txt

3.00截断的条件

第一点:PHP的版本要小于5.3.4 <

第二点:php中的设置文件php.ini中的 magic_quotes_gpc 要关闭,

若想修改magic_quotes_gpc,需要修改php.ini文件,将magic_quotes_gpc关闭掉,记得修改后将Apache服务重启。

4.文件包含00截断绕过

使用%00截断法,在文件名尾部加上%00

05.php?filename=http://127.0.0.1/fi/test.txt%00

iwebsec 靶场漏洞库iwebsechttp://iwebsec.com:81/fi//05.php?filename=http://127.0.0.1/fi/test.txt%00

5.问号截断

http://iwebsec.com:81/fi/05.php?filename=http://127.0.0.1/fi/test.txt?

6.#号截断

http://iwebsec.com:81/fi/05.php?filename=http://127.0.0.1/fi/test.txt%23

iwebsec靶场 文件上传漏洞通关笔记5-.htaccess过滤绕过
mooyuan的网络安全博客
04-20 1779
htaccess文件全称是超文本入口,提供了针对目录改变配置的方法,即在一个特定的文档目录中放置一个包含一个或多个指令的文件,以作用于此目录及其所有子目录。htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。上传.htaccess文件,来绕过黑名单。(2)如何配置使.htaccess生效。
iwebsec 靶场 —— 文件包含漏洞
技术笔记
11-14 913
文件包含漏洞
文件包含靶场
最新发布
sucker的博客
04-13 232
是由于服务器端include()require()
iwebsec靶场 文件包含漏洞通关笔记1-本地文件包含漏洞
mooyuan的网络安全博客
04-20 2138
文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。比如 在PHP中,提供了:这些文件包含函数,这些函数在代码设计中被经常使用到。
iwebsec靶场文件包含
果粒程
03-02 1549
iwebsec靶场文件包含
iwebsec靶场文件包含漏洞-session本地包含
qq_56041380的博客
04-02 551
当获取Session文件的路径并且Session的内容可控时,就可以通过包含Session文件进行攻击
iwebsec靶场 文件包含漏洞通关笔记2-文件包含绕过(截断法)
mooyuan的网络安全博客
09-12 1193
文件包含漏洞中,在服务器执行一个PHP文件时可以通过文件包含函数执行另一个文件,无论这个文件是不是PHP为其后缀,都可以当成PHP执行。文件上传的截断绕过通常源码包含如下字段,比如说传入的参数filename=phpinfo.txt,那么include时会为文件名加上 .html后缀,于是include的文件名就变为了phpinfo.txt.html,这样会导致文件包含漏洞利用出现失败。
文件包含漏洞1 | iwebsec
weixin_52116519的博客
03-06 1281
正是这种灵活性, 从而导致客户端可以调用一个恶意文件,造成文件包含漏洞文件包含函数的参数没有经过过滤,可以被攻击者控制,包含其他恶意文件,导致了执行恶意的代码。PHP的文件包含可以直接执行包含文件的代码,包含的文件格式不受限制(无论是txt、图片文件还是远程URL,全都作为PHP代码执行),只要能正常执行即可。这个文件是我们通过文件上传点上传的,但是无法解析,我们可以利用这里的文件包含漏洞解析。的文件包含漏洞,大多出现在模块加载、模板加载和cache调用的地方。文件,写入如下代码,即01环境的代码。
iwebsec靶场 中间件漏洞通关笔记1-Weblogic中间件漏洞(1)
2401_84968529的博客
05-17 388
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
iwebsec 靶场 —— 命令执行漏洞
技术笔记
11-05 569
命令执行漏洞
iwebsec 靶场 —— SSRF 漏洞
技术笔记
11-29 436
SSRF 漏洞
iwebse靶场文件包含漏洞-本地文件包含
qq_56041380的博客
04-01 351
文件包含函数的参数没有经过过滤或者严格的定义,并且参数可以被用户控制,这样就可能包含非预期的文件。如果文件中存在恶意代码,文论文件是什么类型,文件内的恶意代码都会被解析并执行。 文件包含漏洞可能会造成服务器的网页被恶意篡改
iwebsec靶场 文件包含漏洞通关笔记4-远程文件包含
mooyuan的网络安全博客
09-12 722
远程文件包含文件包含漏洞的其中一种。这种漏洞在文件的URI位于其他服务器上并作为参数传递给PHP函数“include”,“include_once”,“require”,或“require_once”的情况下可能会出现。
iwebsec 文件包含篇 (已完结)
qq_60829702的博客
03-30 3285
iwebsec 文件包含,详细分析,持续更新
文件包含漏洞2 | iwebsec
weixin_52116519的博客
03-12 1388
服务器可以过滤掉执行文件包含操作的符号,例如:\,// 等,以及 php 伪协议常用字符,例如input,output,filter 等,将这些字符进行有效过滤,可以减少恶意文件操作的可能。远程文件包含(remote file include,RFI)是指包含文件的位置并不在本地服务器,而是通过URL的形式包含到其他服务器上的文件,以及执行文件中的恶意代码。:通过可控的session值,传入恶意代码,找到session文件地址、文件名,通过文件包含漏洞包含session文件,达到getshell的目的。
iwebsec靶场文件包含漏洞-php://input伪协议及利用
qq_56041380的博客
04-05 895
php://input可以访问请求的原始数据的只读流,即可以直接读取POST上没有经过解析的原始数据,但是使用enctype="multipart/form-data"的时候php://input是无效的。
文件包含漏洞详解
热门推荐
把梦想放飞在蓝色的天空里...
07-14 1万+
原文作者: m4r10 http://hi.baidu.com/m4r10 转载请注明版权 &&&远程文件包含漏洞&&& 一、 什么才是"远程文件包含漏洞"?回答是:服务器通过php的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,而我们可以构造这个恶意文件来达到邪恶的目的。 涉及到的危险函数:include(),require()和incl
iwebsec靶场 文件包含漏洞通关笔记10-data伪协议利用
mooyuan的网络安全博客
09-14 654
本文通过《iwebsec靶场文件包含漏洞第十关 10 data伪协议》来进行渗透实战。如下所示include函数对GET参数filename没有任何过滤,存在文件包含漏洞。访问后如下所示,提示使用data协议进行渗透。
iwebsec靶场 命令执行漏洞通关笔记
mooyuan的网络安全博客
11-25 4194
iwebsec靶场的命令执行通关笔记,共有五个关卡,分别涉及到基础的命令执行漏洞、空格绕过、关键字绕过、通配符绕过、base64绕过共五方面的渗透。什么是命令执行漏洞?命令执行漏洞是服务器端没有对客户端用户输入的参数进行过滤,导致用户可以通过任意拼接系统命令,使服务器端成功执行任意系统命令。命令执行漏洞主要是服务端没有对执行命令的函数做出过滤导致的,因为在web服务程序有时候去需要调用执行命令的函数,所以如果没有对客户端用户输入的命令进行过滤,可能发生命令执行漏洞
iwebsec靶场搭建
07-28
iwebsec靶场是一个漏洞集成容器,其中集成了大量的web漏洞环境,包括SQL注入、文件包含、命令执行、XXE、反序列化、SSRF、XSS、文件上传等常见的漏洞环境。\[1\] 要搭建iwebsec靶场,可以使用docker来运行容器。可以使用以下命令来启动靶场并将宿主机的8001端口映射给iwebsec靶场的80服务: docker run --restart=always --name iwebsec -it -dp 8001:80 iwebsec/iwebsec \[2\] 这样每次启动靶场时,都会自动运行,并且宿主机的8001端口会映射给靶场的80服务。 需要注意的是,iwebsec靶场还包含一些漏洞渗透,如redis数据库漏洞和MySQL数据库漏洞。如果需要进行渗透测试,需要将iwebsec靶场中的redis服务端口号和MySQL服务端口号映射到主机端口中。可以使用以下命令来查找iwebsec的配置文件: find / -name iwebsec_info.md \[3\] #### 引用[.reference_title] - *1* [Web安全 iwebsec 靶场搭建.](https://blog.csdn.net/weixin_54977781/article/details/130341391)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [iwebsec靶场搭建](https://blog.csdn.net/mooyuan/article/details/128031434)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值