学习文件包含漏洞
2023-02-28 21:00:52 # 网络安全

1.文件包含漏洞条件

开发者在开发过程中,会将可以重复利用的函数或代码块写入到单个文件当中,在使用某些函数时,直接调用对应即可,无需再次编写,这种调用文件的过程称之为文件包含

  1. 包含文件时采用动态包含的方式
  2. 对于包含的文件没有做详细的过滤和检验

PHP文件包含函数:include()、 include_once()、 require()、 require_once()、 fopen()、 readfile()
通过以上函数包含文件,无论文件后缀是什么,都会以php的方式进行解析

其它语言的文件包含:

  1. JSP文件包含函数:java.io.file()、java.io.filereader()、include(),动态包含只支持包含web路径下的jsp文件
  2. aspx文件包含函数:include file、include virtual,aspx和asp均不支持动态包含

2.文件包含漏洞分类

2.1. 本地文件包含(LFI)

包含文件和页面文件如果不在同一目录,包含的路径必须写相对路径或者绝对路径

被包含的文件的后缀无论是是什么都被被视作为PHP进行解析

本地包含任意文件 ../..\

追加后缀:%00截断,受限于php的版本

追加前缀:在文件路径前多一次跳转

包含日志文件,然后在User-Agent等地方上传一句话:

  • /var/log/apache2/access.log
  • /var/log/httpd/access.log
  • /var/log/nginx/access.log

2.2. 远程文件包含(RFI)

代码注入的一种,通过包含的方式远程注入一段用户可控的脚本在服务端执行

远程注入前提条件:

  • allow_url_fopen ON
  • allow_url_include ON
  • 包含的变量前没有目录的限制
  • 远程包含文件路径必须为绝对路径
  • 被包含的文件能被服务器解析

临时启动http服务–python

1
2
python3 -m http.server 8000
python2 -m SimpleHTTPServer 8000

伪协议利用:

1
2
3
4
5
6
7
8
9
http://     //远程文件包含,python启用服务
ftp://
php://filter/read=convert.base64-encode/resource=
file:///ect/passwd
php://input
phar://压缩包路径/文件名称
zip://压缩包路径#文件名称    //记住#可能需要转码为%23
data://text/plain,<?php phpinfo();?>
data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=

日志路径为常见路径/var/log/apache2/access.log,注意日志文件包含

上一页
2023-02-28 21:00:52 # 网络安全
下一页