文件包含漏洞2 | iwebsec
创始人
2024-06-02 06:12:09
0

文章目录

        • 查看php版本及配置
      • 02-本地文件包含绕过
        • %00截断
      • 03-session本地文件包含
        • 通过可控的session值,传入恶意代码
        • 找到session文件地址、文件名
        • 通过文件包含漏洞包含session文件
      • 04-远程文件包含
        • 远程包含任意文件
        • 远程包含webshell
      • 05-远程文件包含绕过
        • 井号(#)截断
        • 问号(?)截断
      • PHP伪协议
      • 06-php://filter伪协议
      • 07-php://input伪协议
        • 读取POST数据
      • 08-php://input伪协议利用
        • 写入木马
        • 命令执行
      • 09-file://伪协议利用
        • 绝对路径
        • 相对路径
        • 网络路径
      • 10-data://伪协议利用
        • 写入木马
      • 11-漏洞防御

接上一篇文章《文件包含漏洞1 | iwebsec》。

在这里插入图片描述

查看php版本及配置

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

02-本地文件包含绕过

本关卡的源码

$filename  = $_GET['filename'];include($filename . ".html");}else{exit();}
?>

看到源码,就想起了文件上传漏洞的绕过方法——%00截断。

%00截断

适用条件:

magic_quotes_gpc = Off 
PHP版本 < 5.3.4

在这里插入图片描述

符合条件要求,截断成功。假设shell.png是通过文件上传漏洞上传的木马图片,包含木马图片。

在这里插入图片描述

蚁剑连接

在这里插入图片描述

03-session本地文件包含

上一篇文章的包含日志文件原理:先想办法把恶意代码写入日志(日志内容可控)中,再利用文件包含漏洞包含日志(日志路径可知),并执行日志里的恶意代码。

session文件包含原理:当可以获取session文件路径并且session文件的内容可控的的时候,就可以通过包含session文件进行攻击。

整体思路:通过可控的session值,传入恶意代码,找到session文件地址、文件名,通过文件包含漏洞包含session文件,达到getshell的目的。

通过可控的session值,传入恶意代码

session_start();$iwebsec=$_GET['iwebsec'];$_SESSION["username"]=$iwebsec;  //将获取的值存入到Session中,内容可控echo 'SESSION["username"]的内容是'. $_SESSION['username'];}else{exit();}
?>

写入一句话木马

在这里插入图片描述

找到session文件地址、文件名

Linux系统下的session文件路径:

在这里插入图片描述

因此我们可以猜测本靶场的session文件默认存放的位置为/var/lib/php/session。也可以通过phpinfo查询。

在这里插入图片描述

session文件名的构造:sess_ + sessionidsessionidcookie中可以查看。

在这里插入图片描述

通过文件包含漏洞包含session文件

通过上面可以知道session文件名为/var/lib/php/session/sess_fifbf701gg8gdi4a643r5lrti0,因此可以利用第一关的文件包含漏洞包含session文件。

在这里插入图片描述

蚁剑连接

在这里插入图片描述

04-远程文件包含

远程文件包含(remote file include,RFI)是指包含文件的位置并不在本地服务器,而是通过URL的形式包含到其他服务器上的文件,以及执行文件中的恶意代码。条件:

allow_url_fopen=On
allow_url_include=On

远程包含任意文件

在这里插入图片描述

在这里插入图片描述

远程包含webshell

假设远程服务器有一个文件:test.txt 的内容为
在正常情况下访问远程服务器URLhttp://8.134.148.36/test.txt,包含在test.txt中的phpinfo函数不会当做PHP代码执行,但是通过远程文件包含漏洞,包含在test.txtphpinfo函数会被当做PHP代码执行。

远程服务器的一个文件。

在这里插入图片描述

远程包含远程服务器的一个文件。

在这里插入图片描述

getshell。

在这里插入图片描述

但是如果包含php文件则不能执行。

在这里插入图片描述

包含的php文件不能执行。

在这里插入图片描述

05-远程文件包含绕过

$filename  = $_GET['filename'];include($filename . ".html");}else{exit();}
?>

井号(#)截断

在这里插入图片描述

问号(?)截断

在这里插入图片描述

PHP伪协议

协议作用用法
file://用于访问本地文件系统(绝对路径、相对路径、网络路径)在这里插入图片描述
php://input执行POST数据中的php代码在这里插入图片描述
data://通常可以用来执行php代码,一般需要用到base64编码传输。在这里插入图片描述
php://filter读取源代码并进行base64编码输出在这里插入图片描述

06-php://filter伪协议

$filename  = $_GET['filename'];include($filename);}else{exit();}
?>

在这里插入图片描述

在这里插入图片描述

07-php://input伪协议


上面代码输出file_get_contents函数获取的php://input数据。测试时在POST处传入字符串,会在页面回显出字符串。

读取POST数据

我本来用hackbar插件发送POST数据的,但是它无法执行成功,因此用burpsuite

在这里插入图片描述

08-php://input伪协议利用

$filename  = $_GET['filename'];include($filename);}else{exit();}
?>

写入木马

通过php://input传入了一句话木马');?>,并在当前目录下建立了shell.php文件。

在这里插入图片描述

在这里插入图片描述

命令执行

在这里插入图片描述

在这里插入图片描述

09-file://伪协议利用

参考《PHP伪协议总结》

绝对路径

在这里插入图片描述

相对路径

在这里插入图片描述

网络路径

在这里插入图片描述

10-data://伪协议利用

在这里插入图片描述

在这里插入图片描述

需要用url编码对+进行编码。

写入木马

一句话木马:

在这里插入图片描述

+进行url编码

在这里插入图片描述

在这里插入图片描述

11-漏洞防御

  1. 检查配置文件
    检查 php 中的 php.ini ,其中 allow_url_fopen、allow_url_include 这两个选项与 php 伪协议紧密关联。allow_url_fopen默认是开启的,allow_url_include 默认是关闭,最好根据网站需求,对这两个选项进行合理配置。

  2. 过滤特殊符号
    服务器可以过滤掉执行文件包含操作的符号,例如:\,// 等,以及 php 伪协议常用字符,例如input,output,filter 等,将这些字符进行有效过滤,可以减少恶意文件操作的可能。

  3. 指定包含的文件
    建立一个白名单。当用户创建文件时,将该文件名插入到记录中,以便其请求文件时,站点可以在执行任何包含之前验证文件名。

在这里插入图片描述

相关内容

热门资讯

365夜故事好词? 365夜故事好词?好词:动如脱兔 待兔守株 得兔忘蹄 东兔西乌 龟毛兔角 狐死兔泣 获兔烹狗 狐兔之...
魏忠贤是好人还是坏人? 魏忠贤是好人还是坏人? 魏忠贤是坏人。在我们的印象中,魏忠贤就是一个十恶不赦,谄媚逢迎,艰险阴狠的小...
柯南最新的一集对应的是漫画第几... 柯南最新的一集对应的是漫画第几话2,6,78话841-843香甜冰冷的快递香甜冰冷的快递对应漫画:F...
闽浙两地开展跨界流域突发环境事... 转自:中国环境网7月10日,福建省南平市生态环境局、浙江省丽水市生态环境局共同开展跨省应急联动演练。...
专访丨巴西看穿美国政治讹诈本质... 新华社里约热内卢7月11日电 题:巴西看穿美国政治讹诈本质 因而坚定“说不”——巴西法学教授卡瓦略谈...
拳脚生风展英姿!“英派斯杯”青... 7月10日-12日,“英派斯杯”青岛市第六届运动会青少年组跆拳道比赛在青岛市即墨区岘山小学举行。本次...
血液病学专家周淑芸逝世,享年9... 转自:京报网_北京日报官方网站 【#血液病学专家周淑芸逝...
守望:红色保密往事丨隐秘而伟大 转自:央视新闻客户端  百余年前中国,风雨飘摇。有一群人改名换姓,隐藏行踪,秘密集结,以独创暗语交换...
湖南汨罗一少年在游泳馆内触电身... 近日,有市民反映,湖南岳阳汨罗市一游泳馆内疑似发生因漏电致人死亡的事故。7月12日下午,澎湃新闻从汨...
中国煤炭大市:从“黑”到“绿”... 中新网鄂尔多斯7月12日电 题:中国煤炭大市:从“黑”到“绿”蜕变记中新网记者 李爱平“以前干活,摘...