文件包含漏洞

文件包含

        程序开发人员通常会把可重复使用的函数写到单个文件中，在使用某些函数时，直接调用此文件，无需再次编写，这种调用文件的过程一般被称为文件包含。

漏洞原理

        文件包含漏洞产生的原因是在通过PHP函数引入文件时，由于传入的文件没有经过合理的校验，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。

        文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞。远程文件包含漏洞是因为开启了PHP配置中的allow_url_include选项，选项开启之后，服务器允许包含一个远程文件，服务器通过PHP特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件，而我们可以构造这个恶意文件来达到自己的目的。

        远程包含条件

在php.ini里有两个重要的参数allow_url_fopen、allow_url_include。只有

        allow_url_fopen:默认值是ON。允许url里的封装协议访问文件;
        allow_url_include:默认值是OFF，需要远程包含的时候需要设置成On。不允许包含url里的封装协议包含文件;

        PHP中常见包含函数

        include()：当使用该函数包含文件时，只有代码执行到 include()函数时才将文件包含
进来，发生错误时之给出一个警告，继续向下执行。
        include_once()：与Include()相同，区别在于当重复调用同一文件时，程序只调用一次
        require()：require()与include()的区别在于require()执行如果发生错误，函数会输出
错误信息，并终止脚本的运行。
        require_once()：与require()相同，区别在于当重复调用同一文件时，程序只调用一次

常用PHP伪协议

file://

        访问本地文件系统

        不受 allow_url_fopen、allow_url_include 影响

        php 涉及到文件以及协议的地方默认使用 file 协议，如果没有写出协议名或者协议不存在，都会被当成 file 协议来解析

http://、ftp://

        访问 HTTP(s) 网址/访问 FTP(s) URLs

        allow_url_fopen = On、allow_url_include = On

php://

        访问各个输入/输出流（I/O streams）
        包括 php://stdin、php://stdout、php://stderr、php://input、php://output、php://filter、php://fd、php://memory、php://temp 九种。

php://input

        访问请求的原始数据的只读流，即直接读取POST上没有经过解析的原始数据，enctype=“multipart/form-data” 的时候 php://input 是无效的
        allow_url_include = On、不受 allow_url_fopen 影响

php://filter

        数据流打开时的筛选过滤应用，读取本地源代码；

        不受 allow_url_fopen、allow_url_include 影响。

        ?a=php://filter/read=convert.base64-encode/resource=index.php（"read="可以省略） //将php文件通过base64编码读出，若不加read=convert.base64-encode，则会将其中内容当做php代码执行。

zip://

        压缩流，可以访问压缩文件中的子文件，将子文件的内容当做 php 代码执行

        不受 allow_url_fopen、allow_url_include 影响

        文件路径必须为绝对路径；zip文件后缀名可以改为其他如图片后缀；#进行url编码为%23

zlib://、bzip2://

        压缩流，可以访问压缩文件中的子文件，将子文件的内容当做 php 代码执行

        不受 allow_url_fopen、allow_url_include 影响

        文件路径无绝对路径限制；zlib://协议文件压缩为zip或gz都可以，bzip2://协议文件压缩为bz2；后缀名也可以改为其他如图片后缀

利用方式

        包含日志文件

        原理：WEB服务器一般会将用户的访问记录保存在访问日志中。那么我们可以根据日志记录的内容，精心构造请求，把PHP代码插入到日志文件中，通过文件包含漏洞来执行日志中的PHP代码。

        利用条件：

                1、日志的物理存放路径

                2、存在文件包含漏洞

                3、curl命令行url请求工具或者 burpsuit代理

        日志默认路径：

        1. apache+Linux日志默认路径

                /etc/httpd/logs/access_log  

                /var/log/httpd/access_log
        2. apache+win2003日志默认路径

                D:\xampp\apache\logs\access.log
                D:\xampp\apache\logs\error.log
        3. IIS6.0+win2003默认日志文件

                C:\WINDOWS\system32\Logfiles
        4. IIS7.0+win2003 默认日志文件

                %SystemDrive%\inetpub\logs\LogFiles
        5. nginx 日志文件

                日志文件在用户安装目录logs目录下
                以我的安装路径为例/usr/local/nginx,
                那我的日志目录就是在/usr/local/nginx/logs里

        web中间件默认配置

        1.apache+linux 默认配置文件

                /etc/httpd/conf/httpd.conf
                index.php?page=/etc/init.d/httpd
        2.IIS6.0+win2003 配置文件

                C:/Windows/system32/inetsrv/metabase.xml
        3.IIS7.0+WIN 配置文件

                C:\Windows\System32\inetsrv\config\applicationHost.config
        curl 构造一句话，写入日志文件测试记录

         

D:\curl>curl -v "http://127.0.0.1/php/1.php?page=<?php @eval($_POST\[123\]);?>"  

        包含上传文件

        包含临时文件

        php中上传文件，会创建临时文件。在linux下使用/tmp目录，而在windows下使用c:\winsdows\temp目录。在临时文件被删除之前，利用竞争即可包含该临时文件。

        包含session

        可以先根据尝试包含到SESSION文件，在根据文件内容寻找可控变量，在构造payload插入到文件中，最后包含即可。

利用条件：

• 找到Session内的可控变量
• Session文件可读写，并且知道存储路径

session常见存储路径：

        /var/lib/php/sess_PHPSESSID
        /var/lib/php/sess_PHPSESSID
        /tmp/sess_PHPSESSID
        /tmp/sessions/sess_PHPSESSID
        session文件格式： sess_[phpsessid] ，而 phpsessid 在发送的请求的 cookie 字段中可以看到。

        包含 /pros/self/environ

        原理：proc/self/environ中会保存user-agent头，如果在user-agent中插入php代码，则php代码会被写入到environ中，之后再包含它，即可。

        利用条件：

        php以cgi方式运行，这样environ才会保持UA头。
        environ文件存储位置已知，且environ文件可读。

c:\boot.ini // 查看系统版本

c:\XX\httpd.conf  Apache配置信息

c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件

c:\windows\repair\sam // 存储Windows系统初次安装的密码

c:\ProgramFiles\mysql\my.ini // MySQL配置

c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码

c:\windows\php.ini // php 配置信息

Linux/Unix

/etc/passwd 账户信息

/etc/shadow  账户密码文件

/etc/httpd/conf/httpd.conf  Apache配置文件

/etc/my.conf  mysql 配置文件

/usr/local/app/apache2/conf/httpd.conf  Apache2默认配置文件

/usr/local/app/apache2/conf/extra/httpd-vhost.conf   虚拟网站配置

/usr/local/app/php5/lib/php.ini PHP相关配置

防御

1.PHP 中使用 open_basedir 配置限制访问在指定的区域。
2.过滤.（点）/（反斜杠）\（反斜杠）。
3.禁止服务器远程文件包含。 

 绕过方法

        目录遍历（目录穿越）

        使用 ../../ 来返回上一目录，被称为目录遍历(Path Traversal)。

        编码绕过

         服务器端常常会对于../等做一些过滤，可以用一些编码来进行绕过。

        %00截断

         %00会被认为是结束符，后面的数据会被直接忽略，导致扩展名截断。攻击者可以利用这个漏洞绕过扩展名过滤。

        条件：magic_quotes_gpc=off                 PHP<5.3.4

        路径长度截断

        操作系统存在最大路径长度的限制。可以输入超过最大路径长度的目录，这样系统就会将后面的路径丢弃，导致扩展名截断。

        Windows下目录的最大路径256B

        Linux下目录的最大路径长度为4096B

        例：filename=xiaohua.txt/./././././././././././././././././././././././././././././././././././.././

        点号截断

        点号截断适用于Windows系统，当点号的长度大于256B时，就可以造成扩展名截断。

        例：?filename=xiaohua.txt................................................................................

        无限制远程文件包含

        无限制远程文件包含是指文件的位置并不是本地服务器，而是通过URL形式包含其他服务器上的文件，执行文件中的恶意代码。

        有限制远程文件包含

        有限制远程文件包含是指当代吗中存在特定的前缀或者.php、.html等扩展名过滤时，攻击者仅需要绕过前缀或者扩展名过滤，才能执行远程URL中恶意代码。

        

        1.问号绕过：文件名后加"?"号

        2.#号绕过：文件名后加"%23"(#号编码：%23)

        3.空格绕过：文件名后加空格(空格编码：%20)