专栏首页安全小圈【原创】基础篇--文件包含漏洞总结

【原创】基础篇--文件包含漏洞总结

作者:小仙人

介绍:安全武器库运营团队核心成员,享受星球原创文章待遇

声明

本篇文章为星球团队成员原创文章,已申请原创权限。

1

0x01 什么是文件包含漏洞

服务器通过PHP的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,而我们可以构造这个恶意文件来达到攻击的目的。

2

0x02 漏洞产生的根本原因

在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件(即恶意文件) 。

3

0x03 是不是只有PHP才有文件包含漏洞

很显然不是,只是文件包含漏洞比较常出现在PHP当中,而且文件包含漏洞在PHP Web Application中居多。几乎所有脚本语言都会提供文件包含的功能,只是在JSP、ASP、ASP.NET程序中却非常少见,甚至没有,这就是语言设计中的弊端。

4

0x04 文件包含漏洞的类型

本地文件包含漏洞(LFI)

网站服务器本身存在恶意文件,然后利用本地文件包含使用。

利用条件:

(1)allow_url_fopen=On

(2)用户可以动态控制变量

远程文件包含漏洞(RFI)

调用其他网站的恶意文件进行打开。

利用条件:

(1)allow_url_include=On&&allow_url_fopen=On(两个选项同时开启)

(2)用户可以动态控制变量

注1:通常我们在Web中是无法知道allow_url_fopen、allow_url_include的,除非有phpinfo。通常本地包含都是开着的,因为它是默认开启的,而且很少人会改它。通常远程包含会被关掉,但是这说不准。

注2:从PHP 5.2开始allow_url_include就默认为Off的,而allow_url_fopen一直默认都是On的。通常开发人员没特殊情况也不会打开,所以说远程包含漏洞出现的概率很低,但是不代表没有。

5

0x05 常见的文件包含函数(白盒测试的时候需要用到)

PHP:Include()、Require()、Include_once()、Require_once()

ASP:include file()、include virtual()

JSP/Servlet:ava.io.file()、java.io.filereader()

注1:当白盒测试的时候,就可以对代码进行全局搜索,看是否用以上函数,若存在以上函数,那么判定可能存在文件包含漏洞,接着进一步测试。

注2:通常开发人员会比较少用带once的那两个函数,因为它会消耗更多的资源去做检测的工作。

注3:我特意问了一下PHP开发的同事,询问他们以上函数哪些函数用得最多,最后得到统一回复:没有所谓的用得最多,只有根据项目情景使用。

6

0x06 如何挖掘文件包含漏洞

从URL上观察关键词page、filename、file、path、dir等等,与文件相关的字眼/关键词,都可能存在文件包含漏洞。当然看过我目录遍历漏洞总结的文章也知道,这里的关键字眼可能会非常类似,甚至可以说一样。所以在挖掘方法上,手法类同。

7

0x07 如何利用文件包含漏洞

(1) PHP伪协议

php://input(接收POST过来的值)

利用条件:

A. allow_url_include=On

B. allow_url_fopen=On

C. PHP版本小于5.3.0

利用姿势:

php://filter

利用条件:

allow_url_fopen=On、allow_url_include不做要求

利用姿势:

index.php?file=php://filter/read=convert.base64-encode/resource=index.php

通过指定末尾的文件,可以读取经base64加密后的文件源码。届时在base64解码即可读取敏感文件。(不能直接获取shell,危害性一般,但是能读取敏感文件,从某个角度上说,危害还是挺大的。)

• phar://

利用条件:

PHP版本大于等于5.3.0

利用姿势:

将内容为一句话木马的1.txt压缩成1.zip,然后指定绝对路径,如下:

index.php?file=phar://D:phpstudyPHPTutorialWWW.zip.txt //绝对路径

index.php?file=phar://1.zip/1.txt //这里1.zip就和index.php同目录下

zip://

利用条件:PHP版本大于等于5.3.0

利用姿势:

index.php?file=zip://D:phpstudyPHPTutorialWWW.zip%231.txt

:使用zip伪协议的方法与phar大致相同,但是zip伪协议不能使用相对路径,否则会包含失败。而且这里要将#编码为%23。

data:URL schema

利用条件:

A. PHP版本大于等于5.2

B. allow_url_fopen=On

C. allow_url_include=On

利用姿势:

index.php?file=data:text/plain,<?php phpinfo();?>

index.php?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b:加号+的URL编码为%2b,这里利用base64解码,常用于绕过。原本这一点我这里不太想写的,因为利用条件严苛,能满足这个条件那还不如直接利用远程文件包含漏洞。但是,这个有利于绕WAF,所以还是拿出来描述。

(2) 包含上传文件

利用条件:

上传文件的绝对路径以及文件名称

:利用姿势这里没法提,要提的话,又能出一文章了。有时候文件上传遇到白名单检测,那么我们上次的图片马又无法配合解析漏洞,恰好这时候又有文件包含漏洞的话,那么就能利用组合拳getshell了。

:以上列出的两大点是文件包含常用姿势,其它很少用的我就不一一列出,因为本文也是自己的学习总结,我觉得像包含session、包含日志、包含environ等等这些姿势很少用到,所以这里不描述,但是我是有印象的,当我以后用到的时候,再回头仔细研究,否则现在学了一遍,很久没用过也是会忘记。

如果想全面了解,这里推荐看前辈总结的几篇文章

https://chybeta.github.io/2017/10/08/php%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB%E6%BC%8F%E6%B4%9E/

https://www.freebuf.com/articles/web/182280.html

8

0x08 漏洞造成的危害

1. 严重的能写入恶意文件从而Getshell

2. 任意读取文件导致的敏感信息泄露

注:该漏洞本身的危害程度有限,但是如果配合起文件上传,其危害程度巨大。

9

0x09 如何防范此漏洞

1. 对文件进行严格的权限管理;

2. 过滤危险字符,如../、~/等;

3. 通过白名单策略,只允许包含运行指定的文件。(本人觉得此方式最妥当)如下:

这一串代码就写死了当变量file不等于include.php的时候,就会输出错误提示,文件未被发现。这种方式在我看来基本能够杜绝此漏洞出现,当然不排除是我水平不够找不到方法的原因。

phar://和zip://的区别:

phar://

可以查找指定压缩包内的文件,可传绝对路径,也可传相对路径。

zip://

用法与phar类似,不过有两点要注意,只能传入绝对路径,要用#分隔压缩包和压缩包里的内容,并且#要用url编码%23。

PS:以上是我在学习和实践后的总结,纯属个人看法。

本文分享自微信公众号 - 零度安全攻防实验室(Zero-safety)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 实战|授权项目Getshell过程

    在这里呢有一些话想跟大家说一下,发表的文章中,有些地方只是为了给大家提供一下思路,因为也是工作中的项目,我只有什么方法都去尝试,有些朋友可能觉得我发的文...

    用户6343818
  • 实战|一次差点就Getshell的渗透测试

    这里感觉就是member这个目录是后台登入目录了,不过不急,我们在收集一下端口开放情况。这里使用的是nmap,fofa

    用户6343818
  • [漏洞复现]Apache Shiro 1.2.4反序列化

    最近没怎么更新文章,不好意思啊,兄弟姐妹们。现在现实工作也忙。今天就更新一篇漏洞复现的吧,预计明天更新一个实战漏洞挖掘的文章(弱口令+越权)。你们如果想要什么工...

    用户6343818
  • Kali Linux Web渗透测试手册(第二版) - 6.1 - 寻找文件包含漏洞

    thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,

    7089bAt@PowerLi
  • Kali Linux Web渗透测试手册(第二版) - 6.1

    thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,

    用户1631416
  • 知乎问题:美腿是怎么炼成的-Python爬一趴

    大数据工程师-公子
  • golang url 链接地址解析包

    copy_left
  • python3 selenium + f

    一、 分析: 抓取动态页面js加载的人民日报里面的新闻详情 https://wap.peopleapp.com/news/1 先打开,然后查看网页源码,发现是...

    py3study
  • 带你认识 flask 分页

    让我们从简单的事情开始吧。首页需要有一个表单,用户可以在其中键入新动态。我创建一个表单类:

    公众号---志学Python
  • CTF实战12 任意文件包含漏洞

    该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关

    用户1631416

扫码关注云+社区

领取腾讯云代金券