当前位置: 开发笔记 > 编程语言 > 正文

文件包含漏洞基础

作者：mobiledu2502896807 | 来源：互联网 | 2023-08-11 11:12

CTF中文件包含漏洞总结0x01什么是文件包含漏洞通过PHP函数引入文件时，传入的文件名没有经过合理的验证，从而操作了预想之外的文件，就可

CTF中文件包含漏洞总结

0x01 什么是文件包含漏洞

通过PHP函数引入文件时&＃xff0c;传入的文件名没有经过合理的验证&＃xff0c;从而操作了预想之外的文件&＃xff0c;就可能导致意外的文件泄漏甚至恶意代码注入。

0x02 文件包含漏洞的环境要求

allow_url_fopen&＃61;On(默认为On) 规定是否允许从远程服务器或者网站检索数据
allow_url_include&＃61;On(php5.2之后默认为Off) 规定是否允许include/require远程文件

0x03 常见文件包含函数

php中常见的文件包含函数有以下四种&＃xff1a;

include()
require()
include_once()
require_once()

include与require基本是相同的&＃xff0c;除了错误处理方面:

include()&＃xff0c;只生成警告&＃xff08;E_WARNING&＃xff09;&＃xff0c;并且脚本会继续
require()&＃xff0c;会生成致命错误&＃xff08;E_COMPILE_ERROR&＃xff09;并停止脚本
include_once()与require_once()&＃xff0c;如果文件已包含&＃xff0c;则不会包含&＃xff0c;其他特性如上

0x04 PHP伪协议

PHP 提供了一些杂项输入/输出&＃xff08;IO&＃xff09;流&＃xff0c;允许访问 PHP 的输入输出流、标准输入输出和错误描述符&＃xff0c; 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

一、php://input

php://input可以访问请求的原始数据的只读流&＃xff0c;将post请求的数据当作php代码执行。当传入的参数作为文件名打开时&＃xff0c;可以将参数设为php://input,同时post想设置的文件内容&＃xff0c;php执行时会将post内容当作文件内容。从而导致任意代码执行。
在这里插入图片描述

Example 1&＃xff1a; 造成任意代码执行

<meta charset&＃61;"utf8"> error_reporting(0); $file &＃61; $_GET["file"]; if(stristr($file,"php://filter") || stristr($file,"zip://") || stristr($file,"phar://") || stristr($file,"data:")){exit(&＃39;hacker!&＃39;); } if($file){if ($file!&＃61;"http://www.baidu.com") echo "tips&＃xff1a;flag在当前目录的某个文件中";include($file); }else{echo &＃39;click go baidu&＃39;; } ?>

在这里插入图片描述

注&＃xff1a;利用php://input还可以写入php木马,即在post中传入如下代码&＃xff1a;

&＃39;);?>

Example 2&＃xff1a; 文件内容绕过

//test.php show_source(__FILE__); include(&＃39;flag.php&＃39;); $a&＃61; $_GET["a"]; if(isset($a)&&(file_get_contents($a,&＃39;r&＃39;)) &＃61;&＃61;&＃61; &＃39;I want flag&＃39;){echo "success\n";echo $flag; }

//flag.php

$flag &＃61; ‘flag{flag_is_here}’;
?>

审计test.php知&＃xff0c;当参数$a不为空&＃xff0c;且读取的文件中包含’I want flag’时&＃xff0c;即可显示$flag。所以可以使用php://input得到原始的post数据,访问请求的原始数据的只读流,将post请求中的数据作为PHP代码执行来进行绕过。
注&＃xff1a;遇到file_get_contents()要想到用php://input绕过。

在这里插入图片描述

二、php://filter

php://filter可以获取指定文件源码。当它与包含函数结合时&＃xff0c;php://filter流会被当作php文件执行。所以我们一般对其进行编码&＃xff0c;让其不执行。从而导致任意文件读取。
在这里插入图片描述

POC1直接读取xxx.php文件&＃xff0c;但大多数时候很多信息无法直接显示在浏览器页面上&＃xff0c;所以需要采取POC2中方法将文件内容进行base64编码后显示在浏览器上&＃xff0c;再自行解码。

注&＃xff1a;更多php://filter用法可参考&＃xff1a;谈一谈php://filter的妙用

Example 1&＃xff1a;

<meta charset&＃61;"utf8"> error_reporting(0); $file &＃61; $_GET["file"]; if(stristr($file,"php://input") || stristr($file,"zip://") || stristr($file,"phar://") || stristr($file,"data:")){exit(&＃39;hacker!&＃39;); } if($file){include($file); }else{echo &＃39;tips&＃39;; } ?>

1.点击tip后进入如下页面&＃xff0c;看到url中出现file&＃61;flag.php&＃xff0c;如下&＃xff1a;
在这里插入图片描述
2.尝试payload&＃xff1a;?file&＃61;php://filter/resource&＃61;flag.php&＃xff0c;发现无法显示内容&＃xff1a;

3.尝试payload&＃xff1a;?file&＃61;php://filter/read&＃61;convert.base64-encode/resource&＃61;flag.php&＃xff0c;得到一串base64字符&＃xff0c;解码得flag在flag.php源码中的注释里&＃xff1a;

在这里插入图片描述

三、zip://

zip:// 可以访问压缩包里面的文件。当它与包含函数结合时&＃xff0c;zip://流会被当作php文件执行。从而实现任意代码执行。

zip://中只能传入绝对路径。
要用#分隔压缩包和压缩包里的内容&＃xff0c;并且#要用url编码%23&＃xff08;即下述POC中#要用%23替换&＃xff09;
只需要是zip的压缩包即可&＃xff0c;后缀名可以任意更改。
相同的类型的还有zlib://和bzip2://

Example 1&＃xff1a;

//index.php <meta charset&＃61;"utf8"> error_reporting(0); $file &＃61; $_GET["file"]; if (!$file) echo &＃39;upload?&＃39;; if(stristr($file,"input")||stristr($file, "filter")||stristr($file,"data")/*||stristr($file,"phar")*/){echo "hick?";exit(); }else{include($file.".php"); } ?> 

//upload.php <meta charset&＃61;"utf-8"> <form action&＃61;"upload.php" method&＃61;"post" enctype&＃61;"multipart/form-data" ><input type&＃61;"file" name&＃61;"fupload" /><input type&＃61;"submit" value&＃61;"upload!" /> </form> you can upload jpg,png,zip....<br /> if( isset( $_FILES[&＃39;fupload&＃39;] ) ) {$uploaded_name &＃61; $_FILES[ &＃39;fupload&＃39; ][ &＃39;name&＃39; ]; //文件名$uploaded_ext &＃61; substr( $uploaded_name, strrpos( $uploaded_name, &＃39;.&＃39; ) &＃43; 1); //文件后缀$uploaded_size &＃61; $_FILES[ &＃39;fupload&＃39; ][ &＃39;size&＃39; ]; //文件大小$uploaded_tmp &＃61; $_FILES[ &＃39;fupload&＃39; ][ &＃39;tmp_name&＃39; ]; // 存储在服务器的文件的临时副本的名称$target_path &＃61; "uploads\\".md5(uniqid(rand())).".".$uploaded_ext;if( ( strtolower( $uploaded_ext ) &＃61;&＃61; "jpg" || strtolower( $uploaded_ext ) &＃61;&＃61; "jpeg" || strtolower( $uploaded_ext ) &＃61;&＃61; "png" || strtolower( $uploaded_ext ) &＃61;&＃61; "zip" ) &&( $uploaded_size < 100000 ) ) {if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {// Noecho &＃39;

upload error

&＃39;;}else {// Yes!echo "".dirname(__FILE__)."\\{$target_path} succesfully uploaded!
";}}else {echo &＃39;you can upload jpg,png,zip....
&＃39;;}
}?>

四、data://与phar://

data:// 同样类似与php://input&＃xff0c;可以让用户来控制输入流&＃xff0c;当它与包含函数结合时&＃xff0c;用户输入的data://流会被当作php文件执行。从而导致任意代码执行。
在这里插入图片描述

phar:// 有点类似zip://同样可以导致任意代码执行。

phar://中相对路径和绝对路径都可以使用

0x05 包含Apache日志文件

WEB服务器一般会将用户的访问记录保存在访问日志中。那么我们可以根据日志记录的内容&＃xff0c;精心构造请求&＃xff0c;把PHP代码插入到日志文件中&＃xff0c;通过文件包含漏洞来执行日志中的PHP代码。
在这里插入图片描述

Apache运行后一般默认会生成两个日志文件&＃xff0c;Windos下是access.log&＃xff08;访问日志&＃xff09;和error.log(错误日志)&＃xff0c;Linux下是access_log和error_log&＃xff0c;访问日志文件记录了客户端的每次请求和服务器响应的相关信息。
如果访问一个不存在的资源时&＃xff0c;如http://www.xxxx.com/,则会记录在日志中&＃xff0c;但是代码中的敏感字符会被浏览器转码&＃xff0c;我们可以通过burpsuit绕过编码&＃xff0c;就可以把写入apache的日志文件&＃xff0c;然后可以通过包含日志文件来执行此代码&＃xff0c;但前提是你得知道apache日志文件的存储路径&＃xff0c;所以为了安全起见&＃xff0c;安装apache时尽量不要使用默认路径。

参考文章&＃xff1a;1.包含日志文件getshell
2.一道包含日志文件的CTF题

0x06 包含SESSION

可以先根据尝试包含到SESSION文件&＃xff0c;在根据文件内容寻找可控变量&＃xff0c;在构造payload插入到文件中&＃xff0c;最后包含即可。

利用条件&＃xff1a;

找到Session内的可控变量
Session文件可读写&＃xff0c;并且知道存储路径

php的session文件的保存路径可以在phpinfo的session.save_path看到。
在这里插入图片描述
session常见存储路径&＃xff1a;

/var/lib/php/sess_PHPSESSID
/var/lib/php/sess_PHPSESSID
/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID
session文件格式&＃xff1a; sess_[phpsessid] &＃xff0c;而 phpsessid 在发送的请求的 COOKIE 字段中可以看到。

参考文章&＃xff1a;一道SESSION包含的CTF题

0x06 包含/pros/self/environ

proc/self/environ中会保存user-agent头&＃xff0c;如果在user-agent中插入php代码&＃xff0c;则php代码会被写入到environ中&＃xff0c;之后再包含它&＃xff0c;即可。

利用条件&＃xff1a;

php以cgi方式运行&＃xff0c;这样environ才会保持UA头。
environ文件存储位置已知&＃xff0c;且environ文件可读。

参考文章&＃xff1a;proc / self / environ Injection

0x07 包含临时文件

假设已经上传一句话图片木马到服务器&＃xff0c;路径为/upload/201811.jpg
图片代码如下&＃xff1a;

")?>

然后访问URL&＃xff1a;http://www.xxxx.com/index.php?page&＃61;./upload/201811.jpg&＃xff0c;包含这张图片&＃xff0c;将会在index.php所在的目录下生成shell.php

0x09 其他包含姿势

包含SMTP(日志)
包含xss

文件包含漏洞的绕过方法

0x09 指定前缀绕过

一、目录遍历

使用 ../../ 来返回上一目录&＃xff0c;被称为目录遍历(Path Traversal)。例如 ?file&＃61;../../phpinfo/phpinfo.php
测试代码如下&＃xff1a;

error_reporting(0);$file &＃61; $_GET["file"];//前缀include "/var/www/html/".$file;

highlight_file(__FILE__);

现在在/var/log目录下有文件flag.txt&＃xff0c;则利用…/可以进行目录遍历&＃xff0c;比如我们尝试访问&＃xff1a;

include.php?file&＃61;../../log/flag.txt

则服务器端实际拼接出来的路径为&＃xff1a;/var/www/html/../../log/test.txt&＃xff0c;即 /var/log/flag.txt&＃xff0c;从而包含成功。

二、编码绕过

服务器端常常会对于../等做一些过滤&＃xff0c;可以用一些编码来进行绕过。
1.利用url编码

../
- %2e%2e%2f
- ..%2f
- %2e%2e/
..\
- %2e%2e%5c
- ..%5c
- %2e%2e\

2.二次编码

../
- %252e%252e%252f
..\
- %252e%252e%255c

3.容器/服务器的编码方式

../
- ..%c0%af
  - 注&＃xff1a;Why does Directory traversal attack %C0%AF work?
- %c0%ae%c0%ae/
  - 注&＃xff1a;java中会把”%c0%ae”解析为”\uC0AE”&＃xff0c;最后转义为ASCCII字符的”.”&＃xff08;点&＃xff09;
    Apache Tomcat Directory Traversal
..\
- ..%c1%9c