0x01 簡介
首先來看一下有哪些文件包含函數:
include、require、include_once、require_once、highlight_file
show_source 、readfile 、file_get_contents 、fopen 、file
有哪些偽協議:
file:// — 訪問本地文件系統
http:// — 訪問 HTTP(s) 網址
ftp:// — 訪問 FTP(s) URLs
php:// — 訪問各個輸入/輸出流(I/O streams)
zlib:// — 壓縮流
data:// — 數據(RFC 2397)
glob:// — 查找匹配的文件路徑模式
phar:// — PHP 歸檔
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音頻流
expect:// — 處理交互式的流
0x02 詳細解讀
2.1 php://filter
php://filter用於讀取源碼,php://input用於執行php代碼
?page=php://filter/read=convert.base64-encode/resource=../flag.php
2.2 file://協議
用於訪問本地文件系統,不受allow_url_fopen與allow_url_include的影響
即file:// [文件的絕對路徑和文件名]
?path=file:///var/www/html/flag.txt
2.3 php://input
php://input 可以訪問請求的原始數據的只讀流, 將post請求中的數據作為PHP代碼執行
php://input 可以用來生成一句話
利用該方法,我們可以直接寫入php文件,輸入file=php://input,然后使用burp抓包,寫入php代碼:
2.4 data://協議
利用data:// 偽協議可以直接達到執行php代碼的效果,例如執行phpinfo()函數:
如果此處對特殊字符進行了過濾,我們還可以通過base64編碼后再輸入:
?page=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
2.5 zip://, bzip2://, zlib://協議
zip://, bzip2://, zlib:// 均屬於壓縮流,可以訪問壓縮文件中的子文件,不需要指定后綴名
如果網站允許我們上傳壓縮文件,我們也可以將php文件壓縮后進行上傳,再通過zip://協議執行。
以DVWA平台為例,我們將phpinfo.php文件進行壓縮后上傳:
通過zip://協議執行zip壓縮包中的phpinfo.php文件:
0x03 總結
page=dict://127.0.0.1:80 #探測端口開放
page=gopher://127.0.0.1:6379/payload #對redis服務進行getshell等操作
文件包含漏洞防護:
1.使用str_replace等方法過濾掉危險字符
2.配置open_basedir,防止目錄遍歷
3.php版本升級,防止%00截斷
4.對上傳的文件進行重命名,防止被讀取
5.對於動態包含的文件可以設置一個白名單,不讀取非白名單的文件
6.做好管理員權限划分,做好文件的權限管理
0x04 參考鏈接
http://j0k3r.top/2018/04/07/php-wxy/
https://blog.csdn.net/Monsterlz123/article/details/93964916