RFI绕过URL包含限制getshell

最新推荐文章于 2025-09-04 14:32:06 发布
原创 最新推荐文章于 2025-09-04 14:32:06 发布 · 置顶 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种绕过PHP中远程文件包含(RFI)限制的新方法,即通过SMB共享进行文件加载,即使在allow_url_fopen和allow_url_include关闭的情况下也能实现远程文件包含,展示了如何配置SMB服务器和PHP环境来执行这一攻击。
前言

为什么有今天这篇文章?原因是我在浏览Twitter时,发现关于远程文件包含RFI的一个奇淫技巧!值得记录一下,思路也很新奇!因为它打破我之前以为RFI已死的观点:)

正文
RFI引出

我们知道php最危险的漏洞函数类别之一就是文件包含类的函数,诸如include,include_once,require,require_once语句的时候,都会使用$_GET或者是其他未经过滤的变量,这就是一个主要的安全风险。

在PHP应用中,通常会有两个问题导致RFI漏洞。其中之一就是应用程序逻辑错误。这些漏洞产生的原因是本来应该被包含到另一个页面的文件并没有被包含,而是包含了其他文件。当这些文件独立执行时,就没有配置文件来指定这些变量的默认值,如果web应用配置不正确的话,用户就可以自己指定文件作为请求的一部分。

用一个最简单的例子来演示一下RFI

<?php
$file=$_GET['file'];
include($file);
?>

在上面的代码中,file参数从get请求中取值,并且是用户可控的值。file接收到参数值后直接带入到PHP文件中,没有经过任何处理。这样攻击者就可以发起相应的请求,从而让应用程序执行恶意脚本。例如,一个webshell如下:

最低0.47元/天 解锁文章
文件包含getshell
qq_32445755的博客
04-11 439
简介 开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这中文件调用的过程一般被称为文件包含。 allow_url_fopen = On(是否允许打开远程文件) allow_url_include = On(默认关闭,是否允许include/require远程文件)该选项为on便是允许 包含URL 对象文件等。 PHP版本<=5.2 可以使用%00进行截断。(能截断的php版本都小于5.3) PHP共有4个与文件包含相关的函数: inc
WEB攻防-通用漏洞&文件包含&LFI&RFI&伪协议编码算法&代码审计
m0_65336233的博客
10-17 1562
WEB攻防-通用漏洞&文件包含&LFI&RFI&伪协议编码算法&代码审计
URL跳转绕过姿势
Berry2014的博客
04-04 716
POC "@" http://www.target.com/redirecturl=http://whitelist.com@evil.com "\" http://www.target.com/redirecturl=http://evil.com\a.whitelist.com "\\" http://www.target.com/redirecturl=http://evil.co...
【挖洞经验】url重定向
Fly_鹏程万里
12-20 2972
 url重定向绕过方式   俗话说的好,上有政策,下有对策,url重定向的绕过姿势也越来越多样化。普通url重定向方法测试不成功,换个姿势,说不定可以再次绕过。   这里总结下成功的绕过方式。 (1)      使用#或者@或者?或者\来绕过   这个是比较常见的绕过方式,利用程序或者浏览器对这些特殊符号的解析,可以让url重定向到我们指定的地址。不过,大部分的开发已经注意到了这点,已经做...
挖洞技巧:如何绕过URL限制
zhangge3663的博客
03-12 9906
大家对URL任意跳转都肯定了解,也知道他的危害,这里我就不细说了,过~ 大家遇到的肯定都是很多基于这样的跳转格式:http://www.xxx.xxx/xxx?xxx=http://www.xxx.xxx/xxxxx 基本的思路大家就是直接替换后面的URL来检测是否存在任意URL跳转,如果不存在,就直接返回到它自己的域名,如果存在,就跳转到你指定的URL。 这里我讲述我所知道的所以小点。 ...
什么是URL/URL编码绕过
好好睡觉
11-07 4081
URLURL绕过
【PHP渗透技巧拓展】————3、LFI、RFI、PHP封装协议安全问题学习
Fly_鹏程万里
02-01 1091
本文希望分享一些本地文件包含、远程文件包含、PHP的封装协议(伪协议)中可能包含的漏洞 目录 1. 文件包含的基本概念 2. LFI(Local File Include) 3. RFI(Remote File Include) 4. PHP中的封装协议(伪协议)、PHP的流式文件操作模式所带来的问题 1. 文件包含的基本概念 严格来说,文件包含漏洞是"代码注入"的一种。"代码注入"...
使用SMB共享来绕过php远程文件包含限制执行RFI的利用
10-16
由于SMB共享是允许匿名访问的,PHP代码将成功加载并执行Web shell,绕过了原本的远程文件包含限制。 总结起来,通过利用SMB共享,攻击者可以在PHP环境禁止远程HTTP/FTP文件包含的情况下,依然实现RFI攻击。这凸显了...
WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
weixin_45534587的博客
02-09 1120
RCE,全称 Remote Code Execution,也就是远程代码执行。简单来说,它是一种非常危险的安全漏洞。正常情况下,我们访问一个网站或者使用某个应用程序,只能按照开发者设定好的功能来操作。但要是存在 RCE 漏洞,攻击者就能打破这种限制,在目标服务器上执行他们自己编写的代码。
文件包含漏洞总结都在这里了
yuanxu8877的博客
10-20 3506
文件包含漏洞总结,全在这里了
第04篇:XSS三重URL编码绕过实例1
08-03
0x01 漏洞实例某次测试中,遇到一个很奇葩的XSS,我们先来加一个双引号,看看输出:如图,可以看到,双引号被转义了,这时候是不是有种想放弃的想法,抱着尝试的状
XSS,RFI扫描者
01-28
XSS,RFI扫描者
第三方网站测评:【WEB应用文件包含漏洞(LFI/RFI)的测试步骤】
最新发布
卓码软件测评的博客
09-04 608
摘要:文件包含漏洞分本地(LFI)和远程(RFI)两类,常见于PHP应用中未过滤用户输入的include()等函数。检测特征包括参数含file/path等关键词、文件路径格式或目录遍历符号。测试方法包括:利用空字节截断、PHP包装器读取源码、日志注入和编码绕过RFI测试需确认服务器配置允许远程包含。防护措施应检查特殊字符过滤、白名单机制、扩展名限制及关闭allow_url_include配置。
web渗透测试----13、URL跳转漏洞
七天
06-23 4760
一、URL跳转 URL跳转一般分为两种,客户端跳转和服务端跳转,两种跳转对用户来说,都是指向或者跳转到另一个界面,页面发生了变化,但是对开发来说,其区别还是挺大的。 1、客户端跳转 客户端跳转也被称为URL重定向,用户浏览器的地址栏URL会发生明显变化,比如,当前页面为http://www.xxx.com/news.php,当点击登录按钮后,变成了http://www.xxx.com/login.php,且页面发生了变化,这就是客户端跳转。 比如:Index.jsp中 包含重定向语句 <% respo
URL跳转漏洞的一些常用绕过方法
Sys1em32 安全之路
12-13 2782
对各种绕过方法做一个汇总,方便自己使用查找。 https://aaa.com/xx?Url=http://www.test.com 文章中test为跳转网站示例,aaa为本身的域名 0x01.利用问号绕过 http://www.aaa.com/acb?Url=http://test.com?login.aaa.com test.com为你要跳转的域名,后面跟上网站自身的域名 0x0...
URL混淆与权限绕过技术
kakalalaww的博客
05-05 1584
绕过技术核心利用分号截断、路径跳转、多斜杠干扰、编码混淆等手段制造前后端解析差异。伪造标头(如)或参数篡改直接绕过权限校验。框架特性风险Shiro的分号解析逻辑、Spring Security的路径匹配缺陷是常见漏洞来源。防御核心原则路径处理标准化、权限校验多维度化、输入过滤严格化。
6、URL跳转漏洞
feiwujiushiwo的博客
01-12 798
​ 服务端未对传入的跳转url 变量进行检查和控制,可能导致构造任意一个恶意地址,诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的,用户会比较信任,所以跳转漏洞一般用于钓鱼攻击,通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息,或欺骗用户进行金钱交易;还可以造成xss 漏洞。
URL重定向(URL跳转)绕过
weixin_50464560的博客
09-20 3606
URL重定向-跳转绕过 URL重定向一般利用点利用姿势修复 URL重定向 服务端未对传入的跳转url变量进行检查和控制,可能导致可恶意构造任意 一个恶意地址,诱导用户跳转到恶意网站。 这个漏洞有啥危害呢???????? 我们普通人当看到一个网址,发现网站开头是自己熟悉(百度,谷歌)或者某一官网(感觉很安全的网址),就会没防护意识的点入进去,当该网站有url跳转漏洞,就会引导你跳转到一个不安全的网站,导致钓鱼或者流量引流。 一般利用点 302跳转: 即设置HTTP响应头Locatioin...
-------已搬运--------BUUCTF:WMCTF2020]Make PHP Great Again --文件包含 --- require_once php7.4 的trick
Zero_Adam的博客
05-03 774
一、自己做: 代码简单, <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once $_GET['file']; } 用filter读取,能够读取到file=../../../../../etc/passwd。用上filter等等,就是读取不到flag.php。 然后我就想到了之前的 文件包含漏洞的。那个上传一个文件,然后包含自己,使得PHP程序运行不完,然后临
ctf中include绕过
03-30
<think>嗯,我现在要了解CTF中的include绕过技术。首先,CTF中的文件包含漏洞通常出现在PHP的include、require等函数中,对吧?那用户输入的文件名如果没有正确过滤,可能导致包含恶意文件。常见的绕过方法有哪些呢?比如,利用路径遍历或者编码?比如../这样的目录遍历,或者使用URL编码? 然后,可能有一些特定的过滤机制,比如过滤了../或者斜杠,这时候需要替换成其他编码,比如..%2f或者..\。还有,如果服务器限制了文件后缀,比如必须.php结尾,那是不是可以用%00截断?不过我记得PHP版本5.3之后修复了空字节截断的问题,所以可能得看环境。 另外,远程文件包含RFI)的情况,如果allow_url_include开启的话,可以包含外部URL的文件。但有时候协议会被过滤,比如http://被黑名单,那可能用其他协议比如php://input或者data://来执行代码。例如data://text/plain,<?php system('ls');?>。 还有大小写绕过,比如.PHp这样的后缀,如果服务器对大小写不敏感的话。或者点号加斜杠,比如file.php/.这样的路径,可能绕过某些检查。还有利用日志文件包含,比如包含access.log,通过User-Agent注入PHP代码,然后包含日志文件执行。 哦,对了,有时候会有限制包含的路径,比如必须包含某个目录下的文件,这时候可能需要用软链接或者上传临时文件,但可能比较难。还有利用php://filter来读取源码,比如用resource=flag.php和编码base64,这样可以绕过执行直接读取源码。 不过可能我有没有遗漏什么情况?比如session文件包含,或者上传图片马然后包含?比如上传一个图片,里面带有PHP代码,然后用包含解析成PHP。不过需要服务器配置允许,比如allow_url_include和allow_url_fopen,或者结合文件上传漏洞。 还有,有时候会用长度截断,比如在旧版本的PHP中,超过一定长度的文件名会被截断,从而绕过后缀检查。但可能现在不太适用了。或者利用多个斜杠和点号组合,比如....//....//这样的,经过处理后会变成../..。 另外,如果过滤了php://,可能需要用其他包装器,比如phar://,或者zip://。比如phar://压缩包中的文件,执行代码。或者使用SMB协议远程包含,不过可能受网络限制。 总结一下,常见的绕过方法包括路径遍历、编码绕过、协议利用、特殊字符处理、日志注入、文件上传结合、过滤器利用等。可能还需要根据具体的过滤规则来调整绕过方式,比如黑名单过滤了哪些字符,是否区分大小写,是否检查文件头等。</think>在CTF比赛中,**文件包含漏洞**常出现在PHP的`include`、`require`等函数中。若用户输入的文件名未被严格过滤,攻击者可通过包含恶意文件获取敏感信息或执行代码。以下是常见的绕过技术及示例: --- ### 一、路径遍历绕过 1. **基础绕过** 若未过滤`../`,可直接跳转目录: ```php include($_GET['file']); // 参数?file=../../etc/passwd ``` 2. **编码绕过** - URL编码:`../` → `%2e%2e%2f` 或 `..%2f` - 双重编码:`../` → `%252e%252e%252f` - 绕过斜杠过滤:用反斜杠`..\`(Windows系统有效)。 --- ### 二、后缀名限制绕过 1. **空字节截断** 适用于PHP <5.3: ```php ?file=../../etc/passwd%00 // 截断后缀检查 ``` 2. **伪协议绕过** - 利用`php://filter`读取源码(Base64编码): ```php ?file=php://filter/convert.base64-encode/resource=flag.php ``` - 利用`data://`执行代码(需`allow_url_include=On`): ```php ?file=data://text/plain,<?php system("ls");?> ``` 3. **截断文件名** 旧版本PHP中长文件名会被截断: ```php ?file=../../etc/passwd/./././././././.[重复N次] ``` --- ### 三、特殊场景利用 1. **日志文件注入** - 将PHP代码注入`User-Agent`或`Referer`,再包含日志文件: ```php ?file=/var/log/apache2/access.log ``` 2. **文件上传结合** - 上传含PHP代码的图片(如`shell.jpg`),利用包含解析: ```php ?file=./uploads/shell.jpg ``` 3. **协议包装器** - `phar://`执行ZIP/JAR内文件: ```php ?file=phar://shell.zip/shell.php ``` - `zip://`需指定片段: ```php ?file=zip://shell.zip%23shell.php ``` --- ### 四、过滤规则绕过 1. **黑名单绕过** - 大小写混淆:`.Php`、`.PHP5` - 附加无关字符:`file.php/.`(路径解析为`file.php`) - 利用点号+斜杠:`....//` → `../` 2. **Session文件包含** - 控制`PHPSESSID`写入恶意代码到Session文件,再包含: ```php ?file=/tmp/sess_[session_id] ``` --- ### 五、防御建议 1. 禁用危险配置:`allow_url_include=Off`、`allow_url_fopen=Off`。 2. 白名单限制包含的文件路径。 3. 过滤特殊字符如`../`、`php://`,使用`basename()`处理文件名。 4. 设置`open_basedir`限制文件访问范围。 --- 通过灵活组合上述方法,可应对多数CTF中的文件包含题目。需根据实际过滤规则调整绕过策略,并关注PHP版本和环境配置差异。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值