文章目录
文件漏洞概述
什么是文件包含
开发人员将需要重复调用的函数写入一个文件,对该文件进行包含的一个操作。这样能够减少代码冗余,减低代码维护的成本和难度,保证网站风格统一,导航栏,底部footer栏等
漏洞产生原因
文件包含函数加载的参数没有经过过滤或严格定义,可以被用户控制,包含其他恶意文件,导致了执行非预期代码
有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,
就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。
举例:
1.常见漏洞代码
<?php
$filename=$_GET['filename']
include($filename);
?>
这段代码意思是以get方式获取filename
并将其包含在主文件内
2.访问的URL
http://xxx//xxx.php?filename=show.php/.jpg/.png均可以
这里改变filename即可改变代码中包含的文件,
包含文件的内容只要符合php语法,都能被以php解析,无关后缀名
php中的文件包含函数(下面给出的是包含函数的区别)
1.require组:
require:函数出现错误时,会直接报错并退出执行程序
require_once:出错时直接退出,且仅包含一次。在脚本执行期间同一个文件可能被多次引用,确保只包含一次以避免函数重定义,变量重赋值等问题
2.include组
include:函数出现错误时,会抛出一个警告,程序继续运行
include_once:函数出现错误时,会抛出警告,且仅包含一次
php函数补充
1.highlight_file
功能:该函数的作用是高亮显示一个 PHP 文件,以语法高亮的形式输出文件内容,方便阅读和调试代码。
它会将文件内容以彩色的语法高亮形式直接输出到浏览器。
2.show_source
功能:与highlight_file类似,它也是以语法高亮的形式显示一个 PHP 文件的内容到浏览器上
3.readfile
功能:输出一个文件的内容到输出缓冲,然后可以将缓冲内容发送到浏览器。该函数读取指定文件并将其内容写入输出缓冲。
如果成功,函数返回从文件中读取的字节数;如果失败,返回 false。
4.fopen
功能:打开一个文件或者 URL。它返回一个文件指针资源,用于后续的文件操作,如读取、写入、关闭等。
可以指定打开模式,如只读、只写、读写等。
5.file
功能:把整个文件读入一个数组中。数组中的每个元素对应文件中的一行,包括换行符。如果操作失败,它会返回 false。
6.file_get_contents
功能:将整个文件读入一个字符串。这个函数可以方便地获取文件的内容,并且可以指定文件路径、使用上下文选项等。
如果操作失败,它会返回 false。
文件包含漏洞类型及利用
1.本地文件包含:被包含的文件在服务器本地
利用方式:包含本地敏感文件,上传文件
注意:".../"是指当前目录上一目录
2.远程文件包含:被包含的文件在远程服务端
利用方式:包含攻击者指定URL文件
◆allow_url_fopen:为ON时,能读取远程文件,例如file_get_contents()就能读远程文件
◆allow_url_include:为ON时,就可使用include和require等方式包含远程文件--上述两个配置在php.ini配置文件中
文件包含漏洞利用方式
注意:zip协议只能用绝对路径
其他利用方式
1.00截断
2.长度绕过(windows 256 linux 4096)
3.日志文件包含
4.session文件包含
文件包含漏洞的防御
1.php中使用open_basedir配置限制访问的区域--在php.ini
进行设置,多个路径可用分号隔开(windows)
2.过滤”.“,"/","\"
3.禁止服务器远程文件包含,即关闭allow_url_fopen/include两个函数
4.尽量不要使用动态包含,可以在需要包含的页面固定写好
该图片为open_basedir的配置方法
%00文件包含绕过
1.条件:源代码对于文件后缀有所规定或者限制
2.要考虑输入要包含的文件时会不会被拼接其他字符串,这时可以考虑使用相对路径
上图该关过滤方式
/.绕过
由图可知:该关会通过截取后缀方式进行过滤
1.使用php.可以绕过,因为浏览器会自动删除末位的点,也可以用/.原理同上
2.这关也可以用%00来绕过,但不同的是该字符会被浏览器过滤,到达服务器时不起作用,所以要用到bp,在发往服务器的路上添加该字符
去掉后缀名绕过
适用条件:1.使用addslashe()函数对特殊字符进行转义(通过加“\”方法)
2.过滤机制会自动添加.php后缀
操作:只写文件名,不加后缀
双写绕过
代码审计:使用replace()函数,将.../替换为空
操作:双写.../,使其删掉其中完整的.../使分开的该字符合并
文件包含写shell
适用条件:以post方式提取参数,此时无法连接一句话木马,
利用操作系统特性
1.MySQL5.3版本以上不允许使用%00截断,此时若想将后缀字符转义,可使用系统特性
2.linux256位以后的字符会默认丢掉,所以我们可以在上传文件名后面加“.”或“./”,来达到目的