【文件包含漏洞】——文件包含漏洞进阶_文件包含漏洞绕过

最新推荐文章于 2024-04-29 21:36:40 发布
最新推荐文章于 2024-04-29 21:36:40 发布
阅读量5.8k 收藏 26
点赞数 5
分类专栏: 渗透测试 文章标签: 文件包含 web漏洞 web安全 网络安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45588247/article/details/119452226
版权

文章目录

一、实验目的:

1、通过本次学习掌握文件包含漏洞的绕过原理。
2、通过搭建漏洞环境,学习绕过技巧。

二、工具:

火狐/谷歌浏览器
burpsuite

三、实验环境:

靶   机: windows10虚拟机:192.168.100.150
        phpstudy2018_Apache集成环境

远端服务器: windows10虚拟机:192.168.100.151(相当于攻击者的公网服务器)

攻 击 机: windows10物理机

四、环境准备:

1. 营造环境:

1、在靶机主目录下创建一个test_include目录


2、在靶机 test_include目录下创建一个index.php的文件:
代码内容:

<?php 
if(isset($_GET['page'])){
  include$_GET['page'].".php";
}else{
include'home.php'; 
}
?>

3、在test_include目录下创建一个home.php
代码内容:

<?php phpinfo();?>

4、在test_include目录下创建一个test.php:
代码内容:

<?php
echo "hello world";
?>

5、测试代码执行:
直接访问目录,可以看出它是包含了home.php文件的:

传输一个test,可以看到它已经包含了test.php
注:当我们使用GET方式传递一个文件名时,它会把后缀.php拼接上,如果存在这个文件,就成功包含,这样就显示文件内容了。


通过上面测试,说明代码可以正常执行,环境营造完成。

2. 设置phpstudy环境:

切换php版本

关闭magic_quotes_gpc函数,并重启phpstudy

五、实验过程:

1. 本地文件包含:

常见的敏感信息路径:
Windows系统:

c:\boot.ini                                   // 查看系统版本
c:\windows\system32\inetsrv\MetaBase.xml      // IIS配置文件
c:\windows\repair\sam                         // 存储Windows系统初次安装的密码
c:\ProgramFiles\mysql\my.ini                  // MySQL配置
c:\ProgramFiles\mysql\data\mysql\user.MYD     // MySQL root密码
c:\windows\php.ini                            // php 配置信息

Linux/Unix系统:

/etc/passwd                                         // 账户信息
/etc/shadow                                         // 账户密码文件
/usr/local/app/apache2/conf/httpd.conf              // Apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhost.conf  // 虚拟网站配置
/usr/local/app/php5/lib/php.ini                     // PHP相关配置
/etc/httpd/conf/httpd.conf                          // Apache配置文件
/etc/my.conf                                        // mysql 配置文件
1.1 %00截断绕过:
1.1.1 原理:

验证源码:

<?php 
if(isset($_GET['page'])){       //判断通过GET方式有没有获取到这个文件;
  include$_GET['page'].".php";  //通过page传递这个文件的名字,不包括文件后缀名;如果传递一个test,代码拼接.php,如果当前目录下存在test.php,就包含test.php;
}else{
include'home.php';              //否则就包含home.php
}
?>

校验过程:判断是否获取到这个文件-->通过GET方式传递一个文件名,并在文件名后面拼接.php后缀-->如果当前目录下有这个文件,就包含这个文件-->否则就包含home.php
注:
  在低版本php读取文件名时认为%00终止符,对于%00后面的内容就会失效。
  通过上面源码我们知道,通过GET方式传递的这个文件名是我们可以进行控制的,在这里我们可以通过%00截断后面拼接的内容,让后面拼接的内容失效。

1.1.2 实验步骤:

1、制作一个图片马放到test_include目录下,这里的内容不是一句话木马,是phpinfo();代码:
内容:

<?php phpinfo();?>


2、对1.png进行包含,报错没有这个文件:


3、包含1.png,使用burpsuite对这个文件进行抓包:


4、在1.png后面加上%00,进行00截断,可以看出,成功解析图片马:

1.2 路径长度截断:
1.2.1 原理:

Windows目录最大长度256字节,超出的部分会被丢弃;
Linux目录最大长度4096字节,超出的部分会被丢弃。

1.2.2 实验步骤:

利用方法:

http://192.168.100.150/test_include/index.php?page=1.png/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././

1、包含1.png,使用burpsuite对这个文件进行抓包:


2、使用长路进行截断,使后面拼接的内容失效,可以看出,成功解析图片马:

1.3 点号截断:
1.3.1 原理:

windows系统 点号 长于 256,超出的部分会被丢弃;
linux系统 点号 长于 4096,超出的部分会被丢弃;;

1.3.2 实验步骤:

利用方法:

http://192.168.100.150/test_include/index.php?page=1.png.................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

1、包含1.png,使用burpsuite对这个文件进行抓包:

2、由于当前是windows环境,使用长于256个点号进行截断,使后面拼接的内容失效,可以看出,成功解析图片马:

1.4 双写绕过:

  如果在文件包含是,服务器对我们传入的参数是通过函数把关键字符替换为空的情况下,我们可以通过对关键字符进行双写进行绕过。
请参考文章

1.5 大小写混合绕过:

如果在文件包含是,服务器对我们传入的参数没有进行严格过滤,比如没没有对大小写进行过滤,我们可以使用大小写混合进行绕过。
请参考文章

1.6 伪协议绕过:

PHP 带有很多内置 URL 风格的封装协议,可用于类似 fopen()、 copy()、 file_exists() 和 filesize() 的文件系统函数。 除了这些封装协议,还能通过 stream_wrapper_register() 来注册自定义的封装协议。
伪协议绕过详情点我!

2. 远程文件包含:

  PHP的配置文件allow_url_fopenallow_url_include设置为ONinclude/require等包含函数可以加载远程文件,如果远程文件没经过严格的过滤,导致了执行恶意文件的代码,这就是远程文件包含漏洞。

allow_url_fopen = On(是否允许打开远程文件)
allow_url_include = On(是否允许include/require远程文件)

2.1 问号绕过:

1、在我们远端服务器网站主目录创建一个1.txt文件:
内容:

<?php phpinfo();?>

2、远程包含我们远端服务器的1.txt文件,可以看出,靶机把1.txt后面拼接了.php后缀:

3、远程包含远端服务器的1.txt,在1.txt后面添加一个,可以看出靶机成功解析远端服务器的1.txtphp脚本文件:

2.2 #号绕过:

注:这里需要对#进行url编码,#的url编码%23

2.3 %00截断绕过:

2.4 其他绕过方式:

一些常见的特殊字符URL编码:

使用burpsuit对一些特殊字符跑一遍,看哪些字符可以:

文件上传漏洞进阶
悦分享
07-30 213
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,有时候几乎没有什么技术门槛。在互联网中,我们经常用到文件上传功能,比如上传一张自定义的图片;分享一段视频或者照片;论坛发帖时附带一个附件;在发送邮件时附带附件,等等。文件上传功能本身是一个正常业务需求,对于网站来说,很多时候也确实需要用户将文件上传到服务器。所以“文件上传”本身没有问题,但有问题的是文件上传后,服务器怎么处理、解释文件。
文件包含漏洞的应用与绕过技巧、防御方法
qq_68163788的博客
02-11 3390
文件包含漏洞是指在应用程序中存在可以包含外部文件的功能,攻击者可以利用这个功能来包含恶意文件,从而执行恶意代码或者获取敏感信息。文件包含漏洞通常出现在动态网页中,比如PHP应用程序中的include和require函数。文件包含漏洞是一种常见的安全问题,攻击者可以利用这个漏洞来执行恶意代码或者获取敏感信息。为了防御文件包含漏洞,开发人员应该对用户输入进行严格的验证和过滤,限制可以被包含的文件路径,并且关闭不必要的文件包含功能。
文件包含漏洞(绕过姿势)
求天下者,积少成多
06-01 1万+
文件包含漏洞渗透测试过程中用得比较多的一个漏洞,主要用来绕过waf上传木马文件。今日在逛Tools论坛时,发现了一种新型的文件包含姿势,在此记录分享,并附上一些文件包含漏洞的基础利用姿势。特殊姿势利用phar://协议特性可以在渗透过程中帮我们绕过一些waf检测,phar:// 数据流包装器自 PHP 5.3.0 起开始有效,貌似可以绕过安全狗。利用过程新建shell.php代码内容:123<?p
文件包含漏洞绕过方法(以php为例)
热门推荐
HMX404的博客
09-27 1万+
一,文件包含漏洞的由来 简单的来说,为了减少“重复造轮子”引入了文件包含函数,可以直接使用文件中的文件和代码。当通过动态获文件时,或者需要引用网络上其他文件时,用户通过对变量值的修改访问规定的文件,但是未对变量值进行校验,导致有了可乘之机,一般在php中常见。 <?php $file = $_GET('file'); include($file); #除此之外还有Include_once;require;require_once;highlight_file; #show_source;readfil
文件包含漏洞及简单绕过
球球的博客
03-18 1322
文件包含漏洞,DVWA靶场,pikachu靶场,漏洞原理,防御与绕过
文件包含漏洞绕过姿势)
heiseweiye的博客
09-19 7314
1.1文件包含漏洞的形成 文件包含就是代码注入的典型代表,PHP的文件包含可以直接执行包含文件的代码,而且包含文件的格式是不受限制的,因此如果我们在包含文件中输入恶意代码,就会导致文件包含漏洞文件包含漏洞大多可以直接利用获取webshell。 文件包含函数主要有以下四个: include() include_once require() require_once() 他们之间的区别在于...
WEB漏洞——文件上传
qq_63594215的博客
04-09 1864
MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类,当该扩展名文件被访问的时候,浏览器会自动使用知道应用程序来打开。多用于知道一些客户端自定义的文件名,以及一些媒体文件打开方式。网站允许上传任意文件,然后检查上传文件是否包含Webshell,如果包含删除文件。网站允许上传任意文件,但是如果不是指定类型,那么使用unlink删除文件。
Pikachu靶场——文件上传漏洞_pikachu文件上传漏洞,2024年最新网络安全开发中常见的一些问题面试专题
2401_84181481的博客
04-10 850
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Pikachu靶场——文件上传漏洞_pikachu文件上传漏洞,十年网络安全编程开发生涯
m0_60226911的博客
04-18 1081
​ 凡是存在文件上传的地方均有可能存在文件上传漏洞,关于上传文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件上传漏洞
Pikachu靶场——文件上传漏洞_pikachu文件上传漏洞(1),网络安全开发避坑指南
m0_60750088的博客
04-18 454
我们在这里查看浏览按钮,可以看出这里有一个对应的判断,当input标签去onchange,发生改变的时候,他就回去调用checkFileExt,我们可以把checkFileExt函数删掉,这和我们之前XSS漏洞的时候修改限制字数一样。这个PHP文件上传成功后,就和前面的一样,我们可以通过访问这个PHP文件,传参,通过一句话木马来控制服务器。上传一个正常的图片,去抓一下它的content-type,然后我们再去上传一下我们的一句话木马。进入第一关有一个文件上传的按钮,先看一下直接上传php文件是个什么效果。
文件包含漏洞03】文件包含漏洞的空字符绕过及六种利用方式
Fighting_hawk的博客
03-11 6002
1. 关于图片马的几种执行方式总结: (1)利用中间件解析漏洞,不同中间件不同版本的利用方式往往不同。 (2)利用.htaccess修改Apache局部配置。 (3) 利用文件包含执行漏洞。 2. 了解PHP魔术引号的作用。 3. 掌握文件包含漏洞空字符绕过的方法。 4. 掌握文件包含漏洞的六种利用方式。...
文件包含漏洞进阶
weixin_30651273的博客
06-02 166
前言: 文件包含漏洞虽然在前面已经说过,但是感觉还不到火候。这次在度 深入了解。 目录: 本地文件包含漏洞进阶 远程文件包含漏洞 正文: 进入之后选择文件包含漏洞,如下图所示 【图一】 进去一看,明显的文件包含漏洞。 尝试包含本地存在的phpinfo.php 使用file协议进行包含 使用php协议进行base64编码读取 windows特别多...
文件包含漏洞
最新发布
2401_82985722的博客
04-29 1344
程序开发人员会把重复使用的函数、变量、类等数据写到单个文件中,需要使用到里面的数据时直接调用此文件,而无需再次编写,这种文件调用的过程称为文件包含
典型漏洞归纳之上传漏洞
weixin_30911451的博客
02-21 1920
0x01 概要说明 文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要了解怎么去利用。此篇文章主要分三部分:总结一些常见的上传文件校验方式,以及绕过校验的各种姿势,最后对此漏洞提几点防护建议。 from : http:/...
文件上传和文件包含绕过
LFY2087701967的博客
07-15 390
Windows系统下,如果上传的文件名中test.php::D A T A 会 在 服 务 器 上 生 成 一 个 t e s t . p h p 的 文 件 , 其 中 内 容 和 所 上 传 内 容 相 同 , 并 被 解 析。当验证代码黑名单过滤中没有过滤掉 ::D A T A , 此 时 就 可 以 通 过 上 传 文 件 后 缀 为 1. p h p : : DATA,此时就可以通过上传文件后缀为1.php::DATA,此时就可以通过上传文件后缀为1.php::DATA格式的文件进行验证绕过
文件包含常见绕过方法
1stPeak's Blog
06-15 8549
文件包含原理 开发人员将相同函数写入单独的文件中,需要使用某个函数直接调用此文件,无需再次编写,这种文件调用过程称为文件包含 文件包含漏洞 开发人员为了使代码更灵活,会将被包含的文件设置为变量,用来动态调用,从而导致客户端可以恶意调用一个恶意文件,造成文件包含漏洞 相关函数 include: 包含并运行指定文件,当包含外部文件发生错误时,系统给出警告,但整个php文件继续执行 include_once: 这个函数跟和include语句类似,唯一区别是如果该文件中已经被包含过,则不会再次包含 req
文件包含与文件内容检测绕过
一个普普通通的博客
03-24 1287
文件包含与文件内容检测绕过
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值