ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

File Inclusion(文件包含漏洞)

2021-04-11 11:31:30  阅读:223  来源: 互联网

标签:文件 http 包含 Inclusion 漏洞 File php page


File Inclusion:

  • 当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件
  • 文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞,远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项(选项开启之后,服务器允许包含一个远程的文件)。

Low:

源代码:

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );

?>

点击file1.php后,观察到url跳转为http://127.0.0.1/DVWA/vulnerabilities/fi/?page=file1.php,尝试修改读取下一个文件

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=file2.php读到下一个文件

通过修改page的值,可以访问到主机的任意文件

Medium:

源代码:

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation 输入验证
$file = str_replace( array( "http://", "https://" ), "", $file );  
$file = str_replace( array( "../", "..\"" ), "", $file );
// 将¥file中的"http://", "https://" 替换成"","../", "..\""替换成"",也就是把这些字符串删除,再赋给¥file
?> 
  • str_replace() 函数替换字符串中的一些字符(区分大小写)。

漏洞利用:

  • 使用str_replace函数是极其不安全的,因为可以使用双写绕过替换规则。
  • 例如?page=hthttp://tp://www.baidu.com时,str_replace函数会将http://删除,于是?page=http://baidu.com成功执行远程命令。
  • 替换的只是“…/”、“…\”,所以对采用绝对路径的方式包含文件也是不会受到任何限制的。

High:

源代码:

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" )  {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?>

fnmatch()函数,根据指定的模式来匹配文件名或字符串。fnmatch(pattern,string,flags)

要求page参数的开头必须是file,我们依然可以利用file协议绕过防护策略。

http://127.0.0.1/dvwa/vulnerabilities/fi/page=file:///路径

就可以包含文件

标签:文件,http,包含,Inclusion,漏洞,File,php,page
来源: https://blog.csdn.net/curryzzb/article/details/115592651

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有