代码审计php文件包含,php代码审计之文件包含

最新推荐文章于 2024-05-09 13:03:35 发布
最新推荐文章于 2024-05-09 13:03:35 发布
阅读量304 收藏
点赞数
文章标签: 代码审计php文件包含

文件包含

文件包含分为本地文件包含(Local File Inclusion,简LFI)和远程文件包含(Remote File Inclusion,简RFI)。

在php中常见的文件包含函数有:

当php包含一个文件时不会在意文件的类型,都会把文件当做php文件来解析。(file_get_contents()除外)。

本地文件包含

测试代码:

存在本地文件包含漏洞。

%00截断

条件:

playload:

这时就是本地任意文件包含。

可以读取服务器敏感信息。

路径长度截断和点号截断

测试代码:

Linux 需要文件名长于 4096,Windows 需要长于 256。

在windows下测试是240个点和240个斜杠加点都能截断。

在linux上只有2038个/.才能截断。(至少2038个)

php版本5.3之后被修复。

远程文件包含

远程文件包含需要设置

测试代码:

41873ded5029a92a9016061a50cba47d.png

问号截断

测试代码:

php伪协议

file:// — 访问本地文件系统

file:///文件绝对路径和文件名

php://

php:// — 访问各个输入/输出流(I/O streams)

条件:

php://input

php://input 是个可以访问请求的原始数据的只读流,enctype=”multipart/form-data” 的时候 php://input 是无效的。POST请求的情况下,php://input可以获取到post的数据。

php://output

php://output 是一个只写的数据流, 允许你以 print 和 echo一样的方式 写入到输出缓冲区。

php://filter

该协议语法为:php://filter:/=参数功能resource=数据来源(必须)

read=读取

write=写入

常用功能:读取源码:

测试代码:

2780620a563b0c5f8b51242ebfa2b83b.png写入webshell

测试代码:

这里需要理解一下php base64解码的原理:

base64编码中只包含64个可打印字符,而PHP在解码base64时,遇到不在其中的字符时,将会跳过这些字符,仅将合法字符组成一个新的字符串进行解码.

一般步骤:

起初$content中一共有十四个字符。

我们传入的字符要与其进行拼接。

这里我们可以利用php://filter/write=convert.base64-decode 来首先对其解码。在解码的过程中,字符、空格等一共有7个字符不符合base64编码的字符范围将被忽略,所以最终被解码的字符仅有“phpexit”和我们传入的其他字符。

“phpexit”一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“c”一共8个字符。这样,”phpexita”被正常解码,而后面我们传入的webshell的base64内容也被正常解码。而后面我们传入的webshell的base64内容也被正常解码。结果就是<?php exit; ?>没有了。成功写入可执行的webshell。

d466245f3b0ecb70d9fb94e3c7512f08.png

方法二:

<?php exit; ?>实际上是一个XML标签,既然是XML标签,我们就可以利用strip_tags函数去除它,而php://filter刚好是支持这个方法。

测试代码:

da73a7b2502296fd0faad973402adbea.png

我们最终的目的是写入一个webshell,而写入的webshell也是php代码,如果使用strip_tags同样会被去除。

php://filter允许使用多个过滤器,我们可以先将webshell用base64编码。在调用完成strip_tags后再进行base64-decode。“死亡exit”在第一步被去除,而webshell在第二步被还原。

playload:

POST传入:

txt=PD9waHAgcGhwaW5mbygpOyA/Pg==&filename=php://filter/write=string.strip_tags|convert.base64-decode/resource=shell.php

396b2fc93a6190057408ce8c38a718be.png

这个方法的条件就是不开启短标签。

其他格式:

zlib://

无版本要求

测试代码:

phar://

phar:// — PHP 归档

phar:// 数据流包装器自 PHP 5.3.0 起开始有效

条件:

压缩包必须是zip协议压缩的文件

测试代码同上

data://

data:// — 数据(RFC 2397)

条件:

测试代码同上

本地文件包含之姿势

日志文件

apache日志

测试系统:

centos:

日志路径:/var/log/httpd/access_log或/etc/httpd/logs/access_log

测试系统:

ubuntu16.04

PHP 5.6.40+ Apache/2.4.18

日志路径:/var/log/apache2/access.log

日志中的一条信息:

信息:访问者ip

请求的时间

请求方式以及url

状态码:200

发送给客户端的总字节数

客户端浏览器的信息

我们知道文件包含时,不管文件是什么类型都当作php来解析。

所以我们可以把webshell藏在请求中,然后就写入日志文件。我们再包含日志文件,就可以获得webshell。

我们试试shell藏在url中:

访问:

查看日志:

发现 :shell被url编码了。

尝试包含日志文件:

8e346f6f9df64d1aa58dfc9c93991c54.png

发现解析失败。

这时我们可以尝试把shell藏在User-Agent里:

fa60515fa897155babedfb73f4837327.png

查看日志:

发现这时成功写入shell。

我们再次包含日志文件就getshell了。

436c27ab2f62687c59aa4a7df2ab440b.png

ssh 日志

利用条件

需要知道ssh-log的位置,且可读。默认情况下为 /var/log/auth.log

我们可以用ssh连接来向ssh日志中写入webshell:

查看日志文件:

167b62e5306c3a44ed34cd6c9bea94b7.png

成功写入shell。包含它就getshell了。

b7f25a19ed27fa67a35ef1b1637ee92c.png

session 文件

利用条件:session文件路径已知,且其中内容部分可控

php的session文件的保存路径可以在phpinfo的session.save_path看到

ef5a2b8ec4cb5de79ade97271ed56346.png

session 存储位置:

/var/lib/php/session

测试代码:

session的文件名是“sess_”+当前PHPSESSID

8f8dad143335f68d2b671c5624defb73.png

故session文件路径为/var/lib/php/session/sess_2n3gliufi6ibj1b5ddovr6eub4

所以此时包含:

绕过姿势

在指定前缀名后,我们可以通过../来跳转目录。

编码绕过

服务器端常常会对于../等做一些过滤,可以用一些编码来进行绕过

问号绕过,#号绕过,%00截断,路径截断(./),长度截断(.)和协议。

常见敏感信息文件路径

windows

linux:

防御措施在很多场景中都需要去包含web目录之外的文件,如果php配置了open_basedir,则会包含失败

做好文件的权限管理

对危险字符进行过滤等等

一只小小的IOS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第二阶段 PHP代码审计文件包含
qq_22132931的博客
11-20 785
PHP代码审计文件包含
一次代码审计实战案例【思路流程】
HBohan的博客
03-03 962
此次代码审计使用了通用代码审计思路的两种,第一种:根据功能点定向审计、第二种:敏感函数回溯参数过程,没有用到的是通读全文代码。活用 phpstorm 可以让代码审计的效率大大增加。
文件包含php代码审计1
m0_55772907的博客
04-30 187
(1)文件包含原理 程序在引用文件的时候,引用的文件名,用户可控的情况下,传入的文件名没有经过合理的校验或者校验不严,从而操作了预想之外的文件,就有可能导致文件泄露和恶意的代码注入。 (2)代码分析 $_GET['filename']接收客户端传的参数,其中没有任何过滤,带入到include函数中,include包含这个文件,引到当前文件中,因此造成文件包含漏洞。 ...
Java代码审计文件包含
jameson_的专栏
06-12 2420
事件今天报一个文件包含,正常url:http://xx.xx.xx.com/view=f01 payload : http://xx.xx.xx.com/view=../../../../../../../../etc/passwd%00看了一下,问题代码如下。private String getFile(String tagId) { String path = getClass
PHP代码审计----2、文件包含
七天
07-05 432
文章目录1、include()、require()2、include_once()、reuqire_once()3、fopen()4、readfile()5、show_source()函数和highlight_file()函数6、file_get_contents()7、防御方法 PHP常见的导致文件包含的函数如下:include()、include_once()、require()、require_once()、fopen()、readfile()、show_source()、highlight_fi
php代码审计文件包含,PHP代码审计文件包含
weixin_29109261的博客
03-10 204
目录漏洞简介漏洞实现文件包含之伪协议漏洞实例漏洞防御漏洞简介什么是文件包含?在之前接触的python中,我们会通过import来导入一些公共资源在PHP中,也有类似的函数,为了更好地使用代码的重用性,引入了文件包含函数,可以通过文件包含函数将文件包含进来,直接使用包含文件的代码文件包含分文本地文件包含(Loacl File Inclusion,LFI)和远程文件包含(Remote File Inc...
PHP代码审计音频文件.zip
11-02
任务12:PHP代码审计之文件上传漏洞mp4 任务11:代码审计之CSRF漏洞mp4 任务10:代码审计之XSS漏洞mp4 任务9:代码审计之命令执行漏洞mp4 任务8:代码审计之代码执行漏洞mp4 任务7:PHP代码审计宽字节注入及二次注入...
第52天:代码审计-PHP项目类RCE及文件包含下载删除1
08-03
在网络安全领域,代码审计是确保应用程序安全性的重要环节。本文主要探讨了PHP项目中常见的安全漏洞类型,包括远程代码执行(RCE)、文件包含、下载、删除等,并提供了相关的漏洞利用关键字和实例分析。 首先,SQL...
php代码审计入坑实践.pdf
07-30
总的来说,PHP代码审计是一个复杂但至关重要的过程,它涉及到理解代码逻辑、寻找潜在的安全风险,以及利用工具进行自动化辅助。这篇文章为初学者提供了一个实用的起点,通过实践操作来提升对代码审计的理解。然而,...
PHP代码审计文档.zip
11-02
第12课:PHP代码审计之文件上传漏洞mp4 第11课:代码审计之CSRF漏洞mp4 第10课:代码审计之XSS漏洞mp4 第9课:代码审计之命令执行漏洞mp4 第8课:代码审计之代码执行漏洞mp4 第7课:PHP代码审计宽字节注入及二次注入...
PHP代码审计
qq_56426046的博客
01-06 787
先从Web漏洞原理开始理解再到漏洞的挖掘以及利用,我们就来到了PHP代码审计这个方向进行进修。这里我们开始学习PHP开发,以及熟悉下开发者的开发思想,站在开发者角度去思索代码。再是掌握漏洞对应发生函数使用,再是学习正则表达式。审计路线:Demo->综合漏洞靶场->网上审计过的CMS->多入口CMS->单入口CMS->框架->函数缺陷作者:Saint Michael原文链接https://www.freebuf.com/articles/web/252333.html相关的一些代码审计的文章。
PHP代码审计(一)
→_→
09-11 3037
以下内容均来自乌云漏洞平台,这里以笔记的形式进行记录并分享,内容会小幅度的增删。 漏洞标题1: BlueCMS v1.6 sp1 ad_js.php SQL注入漏洞 1.描述: 缺陷编号:WooYun-2010-00141 漏洞类型: SQL注射漏洞 Tags标签:php+数字类型注射 漏洞简要:BlueCMS v1.6 sp1 某页面SQL注入漏洞 2.详细说明 缺陷文件:ad_js.php 漏洞成因: $ad_id = !empty(...
PHP代码审计(全)
sechelper的博客
12-07 3886
PHP代码审计全流程,黑白盒测试,小技巧,实操案例
代码审计思路之PHP代码审计
kali_Ma的博客
01-13 2333
00×0 前言 最近也是边挖src边审计代码,总结下最近的php代码审计的一些思路,我一般按照顺序往下做,限于能力水平,可能会有不对或者欠缺的地方,希望各位师傅能够指导。 00×1 前期工作,需要的工具(我使用的) PHPStorm|是PHP编程语言开发的集成环境。 Fotify|代码审计静态扫描工具,商业化静态代码扫描工具,误报率相对较低。 seay|源代码审计工具 CodeQl | 高效的QL非商业的开源代码自动化审计工具。 xcheck| Xcheck 是一款静态应用安全测试工具,旨在及时发现业务代码
php代码审计1(一)
qq_42375801的博客
07-30 491
PHP 执行系统命令可以使用以下几个函数: system、exec、passthru、 ·· 反引号、shell_exec、popen、proc_open、pcntl_exec stringsystem (string$command[,int&amp;$return_var]) stringexec(string$command[,array&amp;$output[,int&amp;$ret...
代码审计 PHP代码理解.
网络安全领域___专研者.
03-21 4433
PHP语言的 概括: (1)PHP 是可以创建动态交互性站点的强有力的服务器端的脚本语言。 (2)PHP可以做很多东西,特别是web网站开发,也可以使用的非常广泛。能够快速,灵活,实用使得PHP语言可以更好的开发任何网站。 (3)PHP 是一种 HTML 嵌入式的脚本语言。php文件以.php结尾。PHP语言的很多语法来自 C,Java 和 Perl,并具有几个 PHP 独有的特点。PHP语言的主要目标是让 Web 开发程序员可以快速的书写动态生成的网页。
代码审计-PHP模型开发篇&动态调试&反序列化&变量覆盖&TP框架&原生POP链
最新发布
siu~
05-09 607
1、PHP审计-动态调试-变量覆盖 2、PHP审计-动态调试-原生反序列化 3、PHP审计-动态调试-框架反序列化
php代码审计_PHP代码审计简单思路。。。
weixin_39789792的博客
11-25 160
PHP常用框架Zendframwork、Yii、Laravel 、ThinkPHP。。。这里举例因为thinkphp由国内人开发用户量较多而且历史漏洞也多Thinkphp历史漏洞很多,对于漏洞形成原因可以自己复现。篇幅有限只介绍披露漏洞Update方法 低于3.2.3 有sql注入问题/** * 更新记录 * @access public * @param mix...
PHP代码审计文件包含漏洞详解与利用工具
"本文介绍了PHP代码审计中的一个常见安全问题——文件包含漏洞,特别是针对本地文件包含的几种利用方式,包括%00截断、路径长度截断和点号截断,并提供了相关漏洞利用工具和常见文件路径。" 在PHP编程中,文件包含...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值