概述 (Overview)
在进行本地文件包含 (LFI) 漏洞利用时,了解目标服务器上可能存在的敏感文件的默认路径至关重要。读取这些文件可以帮助攻击者获取系统信息、用户凭证、配置文件、源代码等关键数据。以下是一些在 Windows 和 Linux 系统上常见的敏感文件及其默认路径。
Windows
C:\boot.ini- 系统启动配置,可获取系统版本信息 (较老系统)。
C:\Windows\System32\inetsrv\MetaBase.xml- IIS 配置文件 (IIS 6 及以下版本),包含站点配置、虚拟目录等。
C:\Windows\repair\sam- 存储系统初始安装时的密码哈希备份 (通常需要 SYSTEM 权限才能访问文件本身,但有时可通过 LFI 读取)。
C:\Program Files\MySQL\my.ini或C:\ProgramData\MySQL\MySQL Server X.Y\my.ini- MySQL 数据库配置文件,可能包含端口、数据目录等信息。
C:\Program Files\MySQL\Data\<database_name>\<table_name>.MYD- MySQL 表数据文件 (MyISAM 引擎)。例如
mysql\user.MYD可能包含用户账户和密码哈希。
- MySQL 表数据文件 (MyISAM 引擎)。例如
C:\Windows\php.ini- PHP 配置文件,包含 PHP 设置、启用的扩展、可能存在的敏感配置等。
C:\Windows\my.ini- MySQL 配置文件 (备用或较老的位置)。
C:\Windows\win.ini- Windows 系统早期版本的配置文件,可能包含一些环境或应用程序信息。
C:\Users\<username>\NTUSER.DAT- 用户注册表配置单元文件。
C:\Windows\System32\drivers\etc\hosts- 本地域名解析文件。
Linux
/etc/passwd- 用户账户信息 (用户名、UID、GID、主目录、Shell),通常全局可读。
/etc/shadow- 用户密码哈希及策略信息 (通常需要 root 权限才能读取)。
/etc/group- 用户组信息。
/etc/hosts- 本地域名解析文件。
/etc/motd- "Message of the day",系统登录时显示的消息。
/etc/issue- 系统版本和发行版信息,在登录提示符前显示。
/etc/resolv.conf- DNS 客户端配置文件。
/etc/fstab- 文件系统挂载配置。
/etc/crontab或/var/spool/cron/crontabs/<username>- 定时任务配置文件。
/etc/sudoers- sudo 权限配置文件 (通常需要 root 权限)。
/etc/my.cnf或/etc/mysql/my.cnf- MySQL 配置文件。
/etc/httpd/conf/httpd.conf或/etc/apache2/apache2.conf- Apache HTTP Server 主配置文件。
/etc/nginx/nginx.conf或/usr/local/nginx/conf/nginx.conf- Nginx 主配置文件。
/var/www/html/(或/var/www/,/srv/www/htdocs/等)- 默认 Web 服务器根目录,可能包含应用程序源代码。
/proc/version- Linux 内核版本信息。
/proc/mounts- 当前挂载的文件系统信息。
/proc/net/tcp或/proc/net/udp- 当前 TCP/UDP 网络连接信息。
/proc/sched_debug- 进程调度信息,可能包含进程列表。
/proc/self/cmdline- 当前进程(读取该文件的进程,通常是Web服务器进程)启动的命令行参数。
/proc/self/environ- 当前进程的环境变量。
/proc/self/cwd- 当前进程的工作目录链接。
/proc/self/fd/<number>- 指向进程打开的文件描述符的链接。
/root/.bash_history或/home/<username>/.bash_history- 用户执行的 Bash 命令历史记录。
/root/.mysql_history或/home/<username>/.mysql_history- 用户执行的 MySQL 客户端命令历史记录。
/root/.ssh/authorized_keys或/home/<username>/.ssh/authorized_keys- SSH 授权公钥,允许无密码登录。
/root/.ssh/id_rsa或/home/<username>/.ssh/id_rsa- SSH 私钥 (非常敏感!)。
/root/.ssh/known_hosts或/home/<username>/.ssh/known_hosts- SSH 已知主机公钥列表。
/var/lib/mlocate/mlocate.db或/var/lib/locatedb/locatedblocate命令使用的文件索引数据库,包含大量文件路径信息。
/proc/config.gz- 当前运行内核的编译配置 (如果存在且可读)。
常见日志文件默认路径 (Common Log File Default Paths)
日志文件对于 LFI 尤其重要,不仅可以读取信息,还可能通过日志投毒 (Log Poisoning) 来执行代码。
- Apache (Linux - Debian/Ubuntu) :
/var/log/apache2/access.log/var/log/apache2/error.log
- Apache (Linux - CentOS/RHEL) :
/var/log/httpd/access_log/var/log/httpd/error_log
- Apache (Older/Custom Linux) :
/etc/httpd/logs/access_log/var/log/access_log
- Apache (Windows - e.g., XAMPP) :
C:\path\to\xampp\apache\logs\access.logC:\path\to\xampp\apache\logs\error.log
- IIS (6.0 and older) :
C:\Windows\System32\LogFiles\(目录下按服务分子目录)
- IIS (7.0 and newer) :
C:\inetpub\logs\LogFiles\W3SVC<SiteID>\(例如W3SVC1是默认站点)
- Nginx :
/var/log/nginx/access.log/var/log/nginx/error.log/usr/local/nginx/logs/access.log(如果从源码编译安装)
注意: 以上路径均为常见默认值,实际部署中可能会被修改。需要根据具体情况进行尝试和探测。读取敏感文件通常需要相应的权限。