文件包含漏洞2 | iwebsec
创始人
2024-06-02 06:12:09
0

文章目录

        • 查看php版本及配置
      • 02-本地文件包含绕过
        • %00截断
      • 03-session本地文件包含
        • 通过可控的session值,传入恶意代码
        • 找到session文件地址、文件名
        • 通过文件包含漏洞包含session文件
      • 04-远程文件包含
        • 远程包含任意文件
        • 远程包含webshell
      • 05-远程文件包含绕过
        • 井号(#)截断
        • 问号(?)截断
      • PHP伪协议
      • 06-php://filter伪协议
      • 07-php://input伪协议
        • 读取POST数据
      • 08-php://input伪协议利用
        • 写入木马
        • 命令执行
      • 09-file://伪协议利用
        • 绝对路径
        • 相对路径
        • 网络路径
      • 10-data://伪协议利用
        • 写入木马
      • 11-漏洞防御

接上一篇文章《文件包含漏洞1 | iwebsec》。

在这里插入图片描述

查看php版本及配置

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

02-本地文件包含绕过

本关卡的源码

$filename  = $_GET['filename'];include($filename . ".html");}else{exit();}
?>

看到源码,就想起了文件上传漏洞的绕过方法——%00截断。

%00截断

适用条件:

magic_quotes_gpc = Off 
PHP版本 < 5.3.4

在这里插入图片描述

符合条件要求,截断成功。假设shell.png是通过文件上传漏洞上传的木马图片,包含木马图片。

在这里插入图片描述

蚁剑连接

在这里插入图片描述

03-session本地文件包含

上一篇文章的包含日志文件原理:先想办法把恶意代码写入日志(日志内容可控)中,再利用文件包含漏洞包含日志(日志路径可知),并执行日志里的恶意代码。

session文件包含原理:当可以获取session文件路径并且session文件的内容可控的的时候,就可以通过包含session文件进行攻击。

整体思路:通过可控的session值,传入恶意代码,找到session文件地址、文件名,通过文件包含漏洞包含session文件,达到getshell的目的。

通过可控的session值,传入恶意代码

session_start();$iwebsec=$_GET['iwebsec'];$_SESSION["username"]=$iwebsec;  //将获取的值存入到Session中,内容可控echo 'SESSION["username"]的内容是'. $_SESSION['username'];}else{exit();}
?>

写入一句话木马

在这里插入图片描述

找到session文件地址、文件名

Linux系统下的session文件路径:

在这里插入图片描述

因此我们可以猜测本靶场的session文件默认存放的位置为/var/lib/php/session。也可以通过phpinfo查询。

在这里插入图片描述

session文件名的构造:sess_ + sessionidsessionidcookie中可以查看。

在这里插入图片描述

通过文件包含漏洞包含session文件

通过上面可以知道session文件名为/var/lib/php/session/sess_fifbf701gg8gdi4a643r5lrti0,因此可以利用第一关的文件包含漏洞包含session文件。

在这里插入图片描述

蚁剑连接

在这里插入图片描述

04-远程文件包含

远程文件包含(remote file include,RFI)是指包含文件的位置并不在本地服务器,而是通过URL的形式包含到其他服务器上的文件,以及执行文件中的恶意代码。条件:

allow_url_fopen=On
allow_url_include=On

远程包含任意文件

在这里插入图片描述

在这里插入图片描述

远程包含webshell

假设远程服务器有一个文件:test.txt 的内容为
在正常情况下访问远程服务器URLhttp://8.134.148.36/test.txt,包含在test.txt中的phpinfo函数不会当做PHP代码执行,但是通过远程文件包含漏洞,包含在test.txtphpinfo函数会被当做PHP代码执行。

远程服务器的一个文件。

在这里插入图片描述

远程包含远程服务器的一个文件。

在这里插入图片描述

getshell。

在这里插入图片描述

但是如果包含php文件则不能执行。

在这里插入图片描述

包含的php文件不能执行。

在这里插入图片描述

05-远程文件包含绕过

$filename  = $_GET['filename'];include($filename . ".html");}else{exit();}
?>

井号(#)截断

在这里插入图片描述

问号(?)截断

在这里插入图片描述

PHP伪协议

协议作用用法
file://用于访问本地文件系统(绝对路径、相对路径、网络路径)在这里插入图片描述
php://input执行POST数据中的php代码在这里插入图片描述
data://通常可以用来执行php代码,一般需要用到base64编码传输。在这里插入图片描述
php://filter读取源代码并进行base64编码输出在这里插入图片描述

06-php://filter伪协议

$filename  = $_GET['filename'];include($filename);}else{exit();}
?>

在这里插入图片描述

在这里插入图片描述

07-php://input伪协议


上面代码输出file_get_contents函数获取的php://input数据。测试时在POST处传入字符串,会在页面回显出字符串。

读取POST数据

我本来用hackbar插件发送POST数据的,但是它无法执行成功,因此用burpsuite

在这里插入图片描述

08-php://input伪协议利用

$filename  = $_GET['filename'];include($filename);}else{exit();}
?>

写入木马

通过php://input传入了一句话木马');?>,并在当前目录下建立了shell.php文件。

在这里插入图片描述

在这里插入图片描述

命令执行

在这里插入图片描述

在这里插入图片描述

09-file://伪协议利用

参考《PHP伪协议总结》

绝对路径

在这里插入图片描述

相对路径

在这里插入图片描述

网络路径

在这里插入图片描述

10-data://伪协议利用

在这里插入图片描述

在这里插入图片描述

需要用url编码对+进行编码。

写入木马

一句话木马:

在这里插入图片描述

+进行url编码

在这里插入图片描述

在这里插入图片描述

11-漏洞防御

  1. 检查配置文件
    检查 php 中的 php.ini ,其中 allow_url_fopen、allow_url_include 这两个选项与 php 伪协议紧密关联。allow_url_fopen默认是开启的,allow_url_include 默认是关闭,最好根据网站需求,对这两个选项进行合理配置。

  2. 过滤特殊符号
    服务器可以过滤掉执行文件包含操作的符号,例如:\,// 等,以及 php 伪协议常用字符,例如input,output,filter 等,将这些字符进行有效过滤,可以减少恶意文件操作的可能。

  3. 指定包含的文件
    建立一个白名单。当用户创建文件时,将该文件名插入到记录中,以便其请求文件时,站点可以在执行任何包含之前验证文件名。

在这里插入图片描述

相关内容

热门资讯

“双室合一”统筹多元力量闭环化... 转自:法治日报□ 本报记者  王春□ 本报通讯员 吕佳慧  62年前,由浙江省诸暨市枫桥镇干部群众创...
废弃荒沟变4A级景区,民俗体验... 阅读提示 马嵬驿景区打破了乡村旅游的同质化,开创了“文化+旅游+产业”的新模式。如今,景区内汇...
【视线】“工地大叔”刘诗利:“... 瘦削的身材,略微佝偻的肩背,黝黑的皮肤……6月25日,来自河南省濮阳县文留镇银岗村的建筑工人刘诗利,...
【最美职工】赣南红韵入戏腔 “六角形的篮子装满鲜花,灯角缀着流苏穗子,茶篮灯舞的表演者握着连接篮子的轴靠内劲翻转着手腕,茶篮便滴...
第12届世界化学工程大会参会指... (转自:中国化工信息周刊)2025年7月14-18日,全球化工领域历史悠久、学术领先的盛会——第12...
知名巨头宣布:拟裁员约9000... 每经编辑|程鹏 张锦河     据央视新闻7月5日消息,美国微软公司近日确认,拟裁...
放弃继承责任还在债务清偿仍应履... 转自:法治日报□ 本报记者   张冲□ 本报通讯员 张志鑫  继承人放弃继承遗产,死者生前借款是否还...
激活桥下空间 引燃乡村“夜经济... 转自:衢州日报  7月5日晚,常山县招贤镇山底村立交桥下人声鼎沸,各种运动和游乐设施吸引四邻八乡的村...
百年禁令解除!巴黎人跳进塞纳河... 转自:千龙网新华社北京7月5日电 当地时间5日早上8时,几十名巴黎市民在救生员的注视下跃入塞纳河,在...
加盟店排小本加盟(加盟店小生意... 根据边肖的最新调查,一些企业家属于小企业家,他们专注于快餐店。说到这里,哪家快餐店适合小企业加盟?对...