文件包含漏洞

文件漏洞概述

什么是文件包含

开发人员将需要重复调用的函数写入一个文件，对该文件进行包含的一个操作。这样能够减少代码冗余，减低代码维护的成本和难度，保证网站风格统一，导航栏，底部footer栏等

漏洞产生原因

  文件包含函数加载的参数没有经过过滤或严格定义，可以被用户控制，包含其他恶意文件，导致了执行非预期代码
  有时候由于网站功能需求，会让前端用户选择要包含的文件，而开发人员又没有对要包含的文件进行安全考虑，
就导致攻击者可以通过修改文件的位置来让后台执行任意文件，从而导致文件包含漏洞。

举例：

1.常见漏洞代码
<?php
$filename=$_GET['filename']
include($filename);    
?>
这段代码意思是以get方式获取filename
并将其包含在主文件内
2.访问的URL
http://xxx//xxx.php?filename=show.php/.jpg/.png均可以
这里改变filename即可改变代码中包含的文件，
包含文件的内容只要符合php语法，都能被以php解析，无关后缀名

php中的文件包含函数(下面给出的是包含函数的区别)

1.require组:
      require:函数出现错误时，会直接报错并退出执行程序
      require_once:出错时直接退出，且仅包含一次。在脚本执行期间同一个文件可能被多次引用，确保只包含一次以避免函数重定义，变量重赋值等问题
2.include组
      include：函数出现错误时，会抛出一个警告，程序继续运行
      include_once：函数出现错误时，会抛出警告，且仅包含一次

php函数补充

1.highlight_file
功能：该函数的作用是高亮显示一个 PHP 文件，以语法高亮的形式输出文件内容，方便阅读和调试代码。
它会将文件内容以彩色的语法高亮形式直接输出到浏览器。
2.show_source
功能：与highlight_file类似，它也是以语法高亮的形式显示一个 PHP 文件的内容到浏览器上
3.readfile
功能：输出一个文件的内容到输出缓冲，然后可以将缓冲内容发送到浏览器。该函数读取指定文件并将其内容写入输出缓冲。
如果成功，函数返回从文件中读取的字节数；如果失败，返回 false。
4.fopen
功能：打开一个文件或者 URL。它返回一个文件指针资源，用于后续的文件操作，如读取、写入、关闭等。
可以指定打开模式，如只读、只写、读写等。
5.file
功能：把整个文件读入一个数组中。数组中的每个元素对应文件中的一行，包括换行符。如果操作失败，它会返回 false。
6.file_get_contents
功能：将整个文件读入一个字符串。这个函数可以方便地获取文件的内容，并且可以指定文件路径、使用上下文选项等。
如果操作失败，它会返回 false。

文件包含漏洞类型及利用

1.本地文件包含:被包含的文件在服务器本地
  利用方式:包含本地敏感文件，上传文件
  注意：".../"是指当前目录上一目录
2.远程文件包含:被包含的文件在远程服务端
  利用方式：包含攻击者指定URL文件
  ◆allow_url_fopen:为ON时,能读取远程文件,例如file_get_contents()就能读远程文件
  ◆allow_url_include:为ON时,就可使用include和require等方式包含远程文件--上述两个配置在php.ini配置文件中

文件包含漏洞利用方式

注意：zip协议只能用绝对路径

其他利用方式

1.00截断
2.长度绕过(windows 256  linux 4096)
3.日志文件包含
4.session文件包含

文件包含漏洞的防御

1.php中使用open_basedir配置限制访问的区域--在php.ini
进行设置，多个路径可用分号隔开(windows)
2.过滤”.“,"/","\"
3.禁止服务器远程文件包含，即关闭allow_url_fopen/include两个函数
4.尽量不要使用动态包含，可以在需要包含的页面固定写好
该图片为open_basedir的配置方法

%00文件包含绕过

1.条件:源代码对于文件后缀有所规定或者限制
2.要考虑输入要包含的文件时会不会被拼接其他字符串，这时可以考虑使用相对路径

上图该关过滤方式

/.绕过

由图可知：该关会通过截取后缀方式进行过滤
1.使用php.可以绕过，因为浏览器会自动删除末位的点，也可以用/.原理同上
2.这关也可以用%00来绕过，但不同的是该字符会被浏览器过滤，到达服务器时不起作用，所以要用到bp，在发往服务器的路上添加该字符

去掉后缀名绕过

适用条件：1.使用addslashe()函数对特殊字符进行转义(通过加“\”方法)
         2.过滤机制会自动添加.php后缀
操作：只写文件名，不加后缀

双写绕过

代码审计：使用replace()函数，将.../替换为空
操作:双写.../,使其删掉其中完整的.../使分开的该字符合并

文件包含写shell

适用条件：以post方式提取参数，此时无法连接一句话木马，

利用操作系统特性

1.MySQL5.3版本以上不允许使用%00截断，此时若想将后缀字符转义，可使用系统特性
2.linux256位以后的字符会默认丢掉，所以我们可以在上传文件名后面加“.”或“./”,来达到目的