本文授权自 MagicBoy
Learn file include vulnerability | Network security
1.文件包含漏洞条件
开发者在开发过程中,会将可以重复利用的函数或代码块写入到单个文件当中,在使用某些函数时,直接调用对应即可,无需再次编写,这种调用文件的过程称之为文件包含
- 包含文件时采用动态包含的方式
- 对于包含的文件没有做详细的过滤和检验
PHP文件包含函数:include()、 include_once()、 require()、 require_once()、 fopen()、 readfile()
通过以上函数包含文件,无论文件后缀是什么,都会以php的方式进行解析
其它语言的文件包含:
- JSP文件包含函数:java.io.file()、java.io.filereader()、include(),动态包含只支持包含web路径下的jsp文件
- aspx文件包含函数:include file、include virtual,aspx和asp均不支持动态包含
2.文件包含漏洞分类
2.1. 本地文件包含(LFI)
包含文件和页面文件如果不在同一目录,包含的路径必须写相对路径或者绝对路径
被包含的文件的后缀无论是是什么都被被视作为PHP进行解析
本地包含任意文件 ../、 ..\
追加后缀:%00截断,受限于php的版本
追加前缀:在文件路径前多一次跳转
包含日志文件,然后在User-Agent等地方上传一句话:
- /var/log/apache2/access.log
- /var/log/httpd/access.log
- /var/log/nginx/access.log
2.2. 远程文件包含(RFI)
代码注入的一种,通过包含的方式远程注入一段用户可控的脚本在服务端执行
远程注入前提条件:
- allow_url_fopen ON
- allow_url_include ON
- 包含的变量前没有目录的限制
- 远程包含文件路径必须为绝对路径
- 被包含的文件能被服务器解析
临时启动http服务–python
python3 -m http.server 8000python2 -m SimpleHTTPServer 8000伪协议利用:
http:// //远程文件包含,python启用服务ftp://php://filter/read=convert.base64-encode/resource=file:///ect/passwdphp://inputphar://压缩包路径/文件名称zip://压缩包路径#文件名称 //记住#可能需要转码为%23data://text/plain,<?php phpinfo();?>data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=日志路径为常见路径/var/log/apache2/access.log,注意日志文件包含
如有侵权,请联系作者删除
来源地址:https://blog.csdn.net/weixin_44340129/article/details/129907944
