文件包含漏洞案例

一、PHP://INPUT

Example 1:造成任意代码执行

源代码:

复制代码
<meta charset="utf8">
<?php
error_reporting(0);
$file = $_GET["file"];
if(stristr($file,"php://filter") || stristr($file,"zip://") || stristr($file,"phar://") || stristr($file,"data:")){
	exit('hacker!');
}
if($file){
	if ($file!="http://www.baidu.com") echo "tips:flag在当前目录的某个文件中";
	include($file);
}else{
	echo '<a href="?file=http://www.baidu.com">click go baidu</a>';
}
?>

根据源代码来看,filter、zip、phar、data等伪协议都被过滤了。

但php://input这个伪协议没有被过滤,我们可以在这里做文章。

先用dir看看目录,发现有flag,然后直接读取出来就行。

Example 2:文件内容绕过

源代码:

复制代码
<?php
show_source(__FILE__);
include('flag.php');
$a= $_GET["a"];
if(isset($a)&&(file_get_contents($a,'r')) === 'I want flag'){
	echo "success\n";
	echo $flag;
}

最主要的就是if判断语句里的意思,file_get_contents里读取的变量a中要有I want flag,才能走到下面读取flag中,那么我们就需要一个可以接收参数的伪协议,只有php://input可以。

二、PHP://FILTER

Example 1

源代码:

复制代码
<?php
error_reporting(0);
$file = $_GET["file"];
if(stristr($file,"php://input") || stristr($file,"zip://") || stristr($file,"phar://") || stristr($file,"data:")){
	exit('hacker!');
}
if($file){
	include($file);
}else{
	echo '<a href="?file=flag.php">tips</a>';
}
?>

查看过滤掉的伪协议,php://filter没有被过滤,看代码也是可以直接读取。

三、zip://

Example 1

第一部分代码:

复制代码
<?php
error_reporting(0);
$file = $_GET["file"];
if (!$file) echo '<a href="?file=upload">upload?</a>';
if(stristr($file,"input")||stristr($file, "filter")||stristr($file,"data")/*||stristr($file,"phar")*/){
	echo "hick?";
	exit();
}else{
	include($file.".php");
}
?>

这个没有过滤zip的伪协议,然后可以看出会跳转到upload页面,然后还看到include函数,可以知道这里就是漏洞点。

upload代码:

复制代码
<meta charset="utf-8">
<form action="upload.php" method="post" enctype="multipart/form-data" >
	 <input type="file" name="fupload" />
 	<input type="submit" value="upload!" />
</form>
you can upload jpg,png,zip....<br />
<?php
if( isset( $_FILES['fupload'] ) ) {
    $uploaded_name = $_FILES[ 'fupload' ][ 'name' ];         //文件名
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);   //文件后缀
    $uploaded_size = $_FILES[ 'fupload' ][ 'size' ];         //文件大小
    $uploaded_tmp  = $_FILES[ 'fupload' ][ 'tmp_name' ];     // 存储在服务器的文件的临时副本的名称
    $target_path = "uploads\\".md5(uniqid(rand())).".".$uploaded_ext;
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" || strtolower( $uploaded_ext ) == "zip" ) &&
        ( $uploaded_size < 100000 ) ) {
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {// No
            echo '<pre>upload error</pre>';
        }
        else {// Yes!
            echo "<pre>".dirname(__FILE__)."\\{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        echo '<pre>you can upload jpg,png,zip....</pre>';
    }
}
 ?>

文件上传,根据代码可以看出只能上传四种类型,jpg、jpeg、png、zip。

创建一个文档,里面写入命令

<?php system('type flag.php');

再对文件进行压缩,上传zip文件

将这个路径给复制出来,用在后面zip伪协议进行解压

相关推荐
二流小码农1 小时前
鸿蒙开发:DevEcoTesting中的稳定性测试
android·ios·harmonyos
一起搞IT吧2 小时前
相机Camera日志实例分析之二:相机Camx【专业模式开启直方图拍照】单帧流程日志详解
android·图像处理·数码相机
xzkyd outpaper2 小时前
Android中ContentProvider细节
android·计算机八股
恋猫de小郭2 小时前
Flutter 多版本管理工具 Puro ,它和 FVM 有什么区别?
android·前端·flutter
newki2 小时前
学习笔记,关于NDK/JNI的简介与实战
android·c++·app
zhangphil3 小时前
Android屏幕刷新率与FPS(Frames Per Second) 120hz
android
江湖有缘3 小时前
华为云Flexus+DeepSeek征文| 华为云Flexus X实例单机部署Dify-LLM应用开发平台全流程指南
android·华为云·rxjava
一杯凉白开3 小时前
硬件工程师口中的取低八位,中八位,高八位是什么意思?
android·网络协议
番茄憨憨3 小时前
Android-wifi常用接口,9个里面你看看几个对你有帮助!
android
消失的旧时光-19433 小时前
Android 开发中配置 USB 配件模式(Accessory Mode) 配件过滤器的配置
android·java