「作者主页」:士别三日wyx
「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
文件包含漏洞
文件包含漏洞常出现在「PHP语言」中。
PHP为了提高「代码复用性」,提供了文件包含函数 include() 和 require(),被包含的文件内容会被当做代码来执行。
就像造轮子一样:把「重复使用」的一段代码,单独写到一个文件里,再用文件包含函数来包含这个文件。
为了灵活的包含文件,一些程序员会把文件名通过「参数」的形式传递给文件包含函数。
当传递文件名的参数可以被用户「修改」时,用户就可以包含任意文件,而文件中的代码就会被服务器执行,这就造成了文件包含漏洞。
PHP提供了四个文件包含函数:
文件包含函数「不关心」文件的「后缀名」,它只是简单的执行被包含的文件,如果文件的内容是代码,就会执行代码;如果不是代码,就当做文本输出到页面。这个特点在后面的练习中可以体现出来。
文件包含漏洞根据包含文件的「位置」可以分为「本地文件包含」和「远程文件包含」。
本地文件包含是指:包含「服务器本地」的文件。
本地文件包含的payload通常以根目录(/)或文件名开头。也就是绝对路径和相对路径。
利用条件:
allow_url_fopen=On)我们拿DVWA中的 File Injection 模块,简单了解一下本地文件包含的使用。
功能很简单:点不同的链接,跳转到对应的文件。
在地址栏中,手动修改page的参数为 file1.php 和 file2.php,页面也会跳转到对应的页面,本质上是后台用文件包含函数 包含了这个文件。
这意味着「参数可控」,我们可以通过修改page的参数,让页面包含指定的文件,前提是文件存在。
我们提交账号文件的路径,在地址栏输入 /etc/passwd:
可以看到,页面显示了passwd文件的内容。我们可以修改成其他的文件名,来包含服务器上其他的文件。
远程文件包含是指:包含「远端」的文件。
远程文件包含的payload通常以 http:// 或 ftp:// 开头。
利用条件:
还是拿DVWA中的 File Injection 模块,简单了解一下远程文件包含的使用。
地址栏提交一个某牛的主页文件:
可以看到,页面包含了这个文件,网下滑可以看到,DVWA的页面被顶到下面去了:
这意味着,我们包含的远端文件,被执行了。我们可以更换其他远端文件
PHP的配置文件 php.ini 中,有两个文件包含相关的配置:allow_url_fopen、allow_url_include。
可以根据这两个配置项来判断,文件包含漏洞是否存在。
所有版本默认开启。
开启后,可以把 http:// 和 ftp:// 形式的URL当成文件打开。
allow_url_fopen=On,允许打开URL文件。
allow_url_fopen=Off,禁止打开URL文件。
PHP5.2开始默认关闭。
开启后,文件包含函数 include() 和 require() 可以把 http:// 和 ftp:// 形式的URL当成文件打开。
allow_url_include=On,允许包含URL文件。
allow_url_include=Off,禁止包含URL文件。
禁用 fopen 和 include,只能防止 http:// 和 ftp:// 这种URL文件的,对5.2版本提供的php和data则无能为力。
PHP提供了一些「伪协议」,这些伪协议可以帮助我们更好的使用文件包含。
php://filter 常用来「读取文件源码」。
php文件被包含时,里面的代码会被执行,我们就看不到文件中的内容了。
1)用 php://filter 把文件内容进行base64编码,编码后的内容不会被当做代码执行,而是在页面中显示出来。我们复制下来用工具解码,就能拿到文件的源码了。使用格式如下:
?url=php://filter/read=convert.base64-encode/resource=phpinfo.php
前面是固定格式,只需要把后面的 phpinfo.php换成其他文件就可以了。
php://input 会把「post请求体」的内容当做文件执行,导致任意代码执行。
1)GET请求参数中使用 php://input 伪协议:
?url=php://input
2)(配合其他工具)post请求体中,写需要执行的代码:
<?php system('ls'); ?>
enctype=multipart/form-data 时,php:/input 无法使用。
phar:// 可以「读取压缩文件」。
1)把代码文件压缩成zip格式,再上传到服务器(配合文件上传漏洞)。
2)用 phar:// 从服务器中读取压缩文件中的文件。
?url=phar://temp/shell.zip/shell.txt
提示:读取时,注意压缩文件中,目录的层级关系。
zip:// 可以「读取压缩文件」
1)把代码文件压缩成zip格式,再上传到服务器(配合文件上传漏洞)。
2)用zip:// 从服务器中读取压缩文件中的文件。
?url=phar://temp/shell.zip%23shell.txt
提示:zip:// 与 phar:// 相似,他们有两个区别
/ 需要换成 %23 (/ 换成 # 后 再url编码成 %23)data:// 常用来「任意代码执行」
与php://input 相似,不同的是,php://input是将post请求体中的内容当做文件执行,而data://将GET请求中,逗号后面的内容当做文件执行。
方式一:data://text/plain,
逗号后面的内容,以纯文本形式执行
?url=data://text/plain,<?php phpinfo();?>
方式二:data://text/html,
逗号后面的内容,以html形式解析
?url=data://text/html,<?php phpinfo();?>
方式三:data://text/plain;base64,
先把需要执行的命令进行base64编码;
逗号后面的内容,先base64解码,再以纯文本形式执行(一种绕过方式)
?url=data://text/plain;base64,JTNDJTNGcGhwJTIwcGhwaW5mbyUyOCUyOSUzQg==
提示:JTNDJTNGcGhwJTIwcGhwaW5mbyUyOCUyOSUzQg== 是 <?php phpinfo(); base64加密的结果,加密代码时,后面不要加 ?> ,否则会报语法错误。
包含日志文件,文件内容会显示到页面中,如果日志中包含代码,则会被执行。
1)包含Web日志(Nginx日志路径:/usr/local/nginx//access_log),页面显示出日志内容。
2)Burp Suite修改访问请求,将代码写入Web日志。
3)再次访问Web日志,日志中的代码将被执行。
1)ssh登录 ssh "<?php phpinfo();?>"@192.168.0.1 ,代码被记录到登录日志中。
2)包含日志文件,默认路径 /var/log/auth.log 或 /var/log/secure,日志中的代码将被执行。
我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看rubyzip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d
很好奇,就使用rubyonrails自动化单元测试而言,你们正在做什么?您是否创建了一个脚本来在cron中运行rake作业并将结果邮寄给您?git中的预提交Hook?只是手动调用?我完全理解测试,但想知道在错误发生之前捕获错误的最佳实践是什么。让我们理所当然地认为测试本身是完美无缺的,并且可以正常工作。下一步是什么以确保他们在正确的时间将可能有害的结果传达给您? 最佳答案 不确定您到底想听什么,但是有几个级别的自动代码库控制:在处理某项功能时,您可以使用类似autotest的内容获得关于哪些有效,哪些无效的即时反馈。要确保您的提
我试图在一个项目中使用rake,如果我把所有东西都放到Rakefile中,它会很大并且很难读取/找到东西,所以我试着将每个命名空间放在lib/rake中它自己的文件中,我添加了这个到我的rake文件的顶部:Dir['#{File.dirname(__FILE__)}/lib/rake/*.rake'].map{|f|requiref}它加载文件没问题,但没有任务。我现在只有一个.rake文件作为测试,名为“servers.rake”,它看起来像这样:namespace:serverdotask:testdoputs"test"endend所以当我运行rakeserver:testid时
我的目标是转换表单输入,例如“100兆字节”或“1GB”,并将其转换为我可以存储在数据库中的文件大小(以千字节为单位)。目前,我有这个:defquota_convert@regex=/([0-9]+)(.*)s/@sizes=%w{kilobytemegabytegigabyte}m=self.quota.match(@regex)if@sizes.include?m[2]eval("self.quota=#{m[1]}.#{m[2]}")endend这有效,但前提是输入是倍数(“gigabytes”,而不是“gigabyte”)并且由于使用了eval看起来疯狂不安全。所以,功能正常,
Rails2.3可以选择随时使用RouteSet#add_configuration_file添加更多路由。是否可以在Rails3项目中做同样的事情? 最佳答案 在config/application.rb中:config.paths.config.routes在Rails3.2(也可能是Rails3.1)中,使用:config.paths["config/routes"] 关于ruby-on-rails-Rails3中的多个路由文件,我们在StackOverflow上找到一个类似的问题
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta
好的,所以我的目标是轻松地将一些数据保存到磁盘以备后用。您如何简单地写入然后读取一个对象?所以如果我有一个简单的类classCattr_accessor:a,:bdefinitialize(a,b)@a,@b=a,bendend所以如果我从中非常快地制作一个objobj=C.new("foo","bar")#justgaveitsomerandomvalues然后我可以把它变成一个kindaidstring=obj.to_s#whichreturns""我终于可以将此字符串打印到文件或其他内容中。我的问题是,我该如何再次将这个id变回一个对象?我知道我可以自己挑选信息并制作一个接受该信
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A