“SCSA-S学习导图+”系列:文件包含
文件包含是开发中常用的手法,程序开发人员通常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,无需再次编写函数。这一调用文件的过程被称为包含。
文件包含是web开发过程中常用的一种方法,但为什么会导致漏洞产生呢?通过本篇文章带大家走进文件包含漏洞的领域中。
一、什么是文件包含漏洞
以PHP语言为例,文件包含漏洞产生的原因是通过PHP函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露,甚至恶意的代码注入。
常用的PHP文件包含函数:
Include:找不到被包含文件时会产生警告(E_WARNING);
include_once:与include()类似,代码已经被包含则不会再次包含;
require:找不到被包含的文件时会产生致命错误(E_COMPILE_ERROR);
require_once:与require()类似,代码已经被包含则不会再次包含。
几乎所有的脚本都会提供文件包含功能,但文件包含漏洞在PHP Web Application中居多。
二、文件包含漏洞分类
文件包含漏洞分为LFI(Local File Inclusion,本地文件包含)和RFI(Remote File Inclusion,远程文件包含)两种类型。
本地文件包含是包含目标服务主机上的资源;远程文件包含是包含其他主机上的资源。其中远程文件包含需要修改配置文件php.ini,开启远程文件包含的参数:allow_url_include=On,默认是Off。
三、文件包含漏洞实例
文件包含漏洞的特性:只要文件内容符合PHP语法规范,任何扩展名都可以被当作PHP脚本解析。
利用场景:目标服务器未开启远程文件包含参数,无法远程包含文件;并且目标服务器本地没有脚本文件进行包含,只存在本地文件包含漏洞。此时可以寻找目标服务器的Web服务器日志文件路径,利用包含漏洞包含日志文件获取Webshell。
以Apache为例,Apache有两个日志文件:access.log、error.log。在用户发起请求时,会将请求写入Apache访问日志access.log,当访问发生错误时将错误写入Apache错误日志error.log。
1、登录操作机,访问http://ip,提示输入page参数
2、访问http://ip/include/include.php?page=xxx.php,包含不存在的文件,使其报错,获取服务器的Web根目录、当前网页的路径、Web服务器等信息,并猜测Web服务器的日志文件为C:\server\apache22\logs
3、包含Apache访问日志文件,?page= C:\server\apache22\logs\access.log,成功找到Apache访问日志文件
4、访问http://ip/include/<?php phpinfo();?>,将请求写入访问日志中,然后再包含访问日志文件?page= C:\server\apache22\logs\access.log,日志记录写入成功,但是没有解析脚本
5、脚本未成功解析的原因其实是因为“<”、“>”、” ”等都被编码转换,所以借助BurpSuite工具抓取数据包,并修改为编码前的脚本代码
6、再次包含访问日志文件,包含Apache日志文件成功,并解析脚本成功
7、同样,可以将脚本代码更换为一句话木马,再通过WebShell管理工具连接木马文件。
总结
通过此文,发现在无其他漏洞,只有文件包含漏洞,且目标服务器本地既无shell文件可利用,也没有远程文件包含时,可以在请求中添加脚本代码,再利用Burp Suite抓包将数据包中的编码去掉,再包含日志文件,从而Getshell。
拓展(常见日志默认路径)
Apache:
- Apache + Linux日志默认路径
/etc/httpd/logs/access_log 或 /var/log/httpd/access log - Apache + Windows日志默认路径
XAMPP套件:xampp\apache\logs\access.log
phpStudy套件:phpStudy\Apache\logs\access.log
IIS: - IIS6:
C:WINDOWS\system32\Logfiles - IIS7:
%SystemDrive%\inetpub\logs\LogFiles
Nginx:
nginx日志文件在用户安装目录的logs目录下
如安装目录为/usr/local/nginx,日志文件在/usr/local/nginx/logs下
本期作者石岩:深信服培训认证中心主任,深信服安全服务认证专家(SCSE-S),产业教育中心资深讲师,中国网络空间安全协会会员,深圳大学专业学位研究生校外导师;曾任国内知名安全厂商安全认证负责人、安全服务工程师、信息安全咨询顾问、信息安全讲师;多次为政府、运营商、企业、本科、高职学员以及高校老师进行信息安全培训;多次组织、参与职业能力评价认证工作,擅长Web安全、渗透测试、操作系统等多个方向的课程。
“SCSA-S学习导图+”系列:文件包含相关推荐
- “SCSA-T学习导图+”系列:IPSec VPN原理与应用
本期引言: 本章主要讲解IPSec VPN相关理论概念,工作原理.从安全和加密原理入手,讲解了IPSec 在VPN对等体设备实现的安全特性,如数据的机密性.数据的完整性,数据验证等.重点分析IPSec ...
- Java专栏学习导图【一】
Java专栏学习导图 一.JavaSE 1.JavaSE基础 1.1 面向对象 1.2 集合底层原理 1.3 网络编程 1.4 IO/NIO 1.5 抽象类和接口 1.6 方法 1.7 JDK特性 二 ...
- 思维导图系列——计算机网络
思维导图系列--操作系统 思维导图为博主期末复习亲自整理而成的,知识点覆盖全,可直接看思维导图复习,包含注解,图示等,觉得对你有帮助,不妨一键三连哦!.[链接见文末!!!] 参考书目: 计算机网络(第 ...
- 数据结构和算法 -- 学习导图
数据结构和算法 是作为程序员写出高效代码的基础,为了今后的两年在高效代码之路上持续精进,将按照此学习导图进行 算法和数据结构的刻意练习,同时也希望为同样有高效代码追求的伙伴们提供一条学习路径,共同进步 ...
- Redis 远程字典服务及shell全部命令汇总【点击可查看高清原图】(附 xmind思维导图原文件 百度网盘)
xmind思维导图原文件分享 链接:https://pan.baidu.com/s/10lGFF9OlxU8a5cfzCYYJKA 提取码:ugi2
- 0元包邮 | 知识图谱学习导图
知识图谱可以说是整个AI的未来,是实现人工智能从"感知"跃升到"认知"的基础.近年来,作为实现认知智能的核心驱动力,已广泛应用在金融.电商.医疗.政务等诸多领域 ...
- 思维导图系列之Java集合知识梳理
上一系列: 思维导图系列之Java多线程知识梳理 从集合的继承关系.实现方式.集合之间的相同点和不同点等方面去罗列主要知识点,以思维导图的方式进行呈现,可以让读者更条理清晰的在最短的时间内掌握集合的主 ...
- 思维导图系列之Java多线程知识梳理
上一系列:思维导图系列之MySQL知识梳理 从多线程的基础.线程同步.线程间通信.线程调度.线程池.并发容器.线程安全的集合.原子变量等方面去罗列主要知识点,以思维导图的方式进行呈现,可以让读者更条理 ...
- 思维导图系列之MySQL知识梳理
上一系列:思维导图系列之Redis知识梳理 从MySQL的基础.存储引擎.索引.锁.事务.分库分表.性能分析.使用规范及优化方面去罗列主要知识点,以思维导图的方式进行呈现,可以让读者更条理清晰的在最短 ...
最新文章
- 武汉大学计算机学院放假时间,计算机学院关于2019年学生放暑假的通知
- Windows系统一键安装zabbix agent
- 任正非最新讲话透露:华为在加快开发统一的人工智能平台
- MySQL性能优化速记
- python程序员工作怎样-python程序员待遇如何
- 【错误记录】编译 Linux 内核报错 ( /bin/sh: 1: flex: not found )
- #翻译NO.5# --- Spring Integration Framework
- Oracle技术牛人网站
- canvas学习和滤镜实现
- leetcode1052. 爱生气的书店老板(滑动窗口)
- 信息奥赛一本通(1099:第n小的质数)
- DL for Scratch 读书笔记
- 短信验证码功能(阿里云版)
- grafana 画拓扑图 能不能_画网络拓扑图的软件除了visio外还有什么软件啊?
- STM32cubeide代码自动补全教程
- 如何给HTML文件加一张背景图,如何在css中添加背景图?
- Android 读取短信内容(模拟器)
- React 面试题 回答
- 薅羊毛常见问题合集——更新中
- 华为设备配置策略路由