《Web安全实战》系列调集了WEB类常见的各种缝隙,笔者依据自己在Web安全范畴中学习和作业的经历,对缝隙原理和缝隙使用面进行了总结剖析,致力于缝隙准确性、丰富性,期望对WEB安全作业者、WEB安全学习者能有所协助,削减获取常识的时刻本钱。
0×01 文件包括简介
服务器履行PHP文件时,能够经过文件包括函数加载另一个文件中的PHP代码,而且当PHP来履行,这会为开发者节约很多的时刻。这意味着您能够创立供一切网页引证的规范页眉或菜单文件。当页眉需求更新时,您只更新一个包括文件就能够了,或许当您向网站增加一张新页面时,只是需求修正一下菜单文件(而不是更新一切网页中的链接)。
文件包括函数
PHP中文件包括函数有以下四种:
require()
require_once()
include()
include_once()
include和require差异主要是,include在包括的过程中假如呈现过错,会抛出一个正告,程序持续正常运转;而require函数呈现过错的时分,会直接报错并退出程序的履行。
而include_once(),require_once()这两个函数,与前两个的不同之处在于这两个函数只包括一次,适用于在脚本履行期间同一个文件有或许被包括超越一次的情况下,你想保证它只被包括一次以防止函数重界说,变量从头赋值等问题。
缝隙发生原因
文件包括函数加载的参数没有经过过滤或许严厉的界说,能够被用户操控,包括其他歹意文件,导致了履行了非预期的代码。
示例代码
$filename = $_GET['filename'];
include($filename);
?>
例如:
$_GET['filename']参数开发者没有经过严厉的过滤,直接带入了include的函数,攻击者能够修正$_GET['filename']的值,履行非预期的操作。
0×02 本地文件包括缝隙
无约束本地文件包括缝隙
测验代码:
$filename = $_GET['filename'];
include($filename);
?>
测验成果:
经过目录遍历缝隙能够获取到体系中其他文件的内容:
常见的灵敏信息途径:
Windows体系
c:boot.ini // 检查体系版别
c:windowssystem32inetsrvMetaBase.xml // IIS装备文件
c:windowsrepairsam // 存储Windows体系初度装置的暗码
c:ProgramFile *** ysqlmy.ini // MySQL装备
c:ProgramFile *** ysqldatamysqluser.MYD // MySQL root暗码
c:windowsphp.ini // php 装备信息
Linux/Unix体系
/etc/passwd // 账户信息
/etc/shadow // 账户暗码文件
/usr/local/app/apache2/conf/httpd.conf // Apache2默许装备文件
/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站装备
/usr/local/app/php5/lib/php.ini // PHP相关装备
/etc/httpd/conf/httpd.conf // Apache装备文件
/etc/my.conf // mysql 装备文件
session文件包括缝隙
使用条件:
session的存储方位能够获取。
1. 经过phpinfo的信息能够获取到session的存储方位。
经过phpinfo的信息,获取到session.save_path为/var/lib/php/session:
2. 经过猜想默许的session寄存方位进行测验。
如linux下默许存储在/var/lib/php/session目录下:
session中的内容能够 *** 控,传入歹意代码。
示例:
session_start();
$ctfs=$_GET['ctfs'];
$_SESSION["username"]=$ctfs;
?>
缝隙剖析
此php会将获取到的GET型ctfs变量的值存入到session中。
当拜访http://www.ctfs-wiki/session.php?ctfs=ctfs 后,会在/var/lib/php/session目录下存储session的值。
session的文件名为sess_+sessionid,sessionid能够经过开发者形式获取。
所以session的文件名为sess_akp79gfiedh13ho11i6f3 *** 6s6。
到服务器的/var/lib/php/session目录下检查公然存在此文件,内容为:
username|s:4:"ctfs";
[root@c21336db44d2 session]# cat sess_akp79gfiedh13ho11i6f3 *** 6s6
username|s:4:"ctfs"
缝隙使用
经过上面的剖析,能够知道ctfs传入的值会存储到session文件中,假如存在本地文件包括缝隙,就能够经过ctfs写入歹意代码到session文件中,然后经过文件包括缝隙履行此歹意代码getshell。
当拜访http://www.ctfs-wiki/session.php?ctfs=后,会在/var/lib/php/session目录下存储session的值。
[root@6da845537b27 session]# cat sess_83317220199fc31cd7023422f64bea1a
username|s:18:" phpinfo();?>";
攻击者经过phpinfo()信息走漏或许猜想能获取到session寄存的方位,文件名称经过开发者形式可获取到,然后经过文件包括的缝隙解析歹意代码getshell。
有约束本地文件包括缝隙绕过
%00切断
条件:magic_quotes_gpc = Off php版别
测验代码:
$filename = $_GET['filename'];
[1] [2] [3] [4] 黑客接单网
root(hd0,0)#本次grub查找stage2及其kernel文件地点设备分区,指定grub的根http://xyb.acfun.tv五、装备外网主机写一个apache 反向署理别的,如果把UN...
在曩昔的几个月里,我一向企图从PlayStation Vita中提取硬件密钥。为此我还专门写了一篇论文,里边详细介绍了我所运用过的一切的技术细节和理论依据,感兴趣的读者能够点此详细了解。本文是对详细的...
近期,由安全公司 Portswigger 建议的“2019年十大Web黑客技能”评选成果出炉了!经过一开始初选的37个技能议题提名,到后来白帽社区投票的15个入围技能议题,终究,经专家评定委员会评选,...
x=eval(' assert(str_rot13("flfgrz("jubnzv")")) ;')从昨日开端,这个从澳大利亚远渡重洋而来的BASH长途指令履行缝隙就欢腾了整个FreeBuf,我们都在...
二、Bypass FuzzIL构成的二进制文件在运转时,会交由CLR进行接收,并由CLR进行翻译(JIT),生成能够直接运转的机器码,最终进行履行。 默许数据库地址!win: echo ^<...
Office类型的缝隙运用(CVE-2014-4114)–>邮件–>下载歹意组件BlackEnergy侵入职工电力工作体系–>BlackEnergy持续下载歹意组件(KillDisk...