DVWA之文件包含详解

文件包含漏洞原理

在web应用中，开发人员为了提高开发效率，通常会把多个页面存在的共用功能编写在一个文件 中，当其他页面需要使用的时候，利用文件包含的函数就可以调用这部分的代码。如果服务器配置不当或者对用户输入的数据过滤不严，就会导致用户可以修改文件包含的地址，操作意料之外的文件或进行恶意代码注入。

文件包含用到的函数

require:找不到被包含的文件，报错，并且停止运行脚本。
include:找不到被包含的文件,只会报错，但会继续运行脚本。
require_once:与require类似,区别在于当重复调用同一文件时,程序只调用一次。
include_once:与include类似,区别在于当重复调用同一文件时,程序只调用一次。

文件包含的特征

?page=a.php
?home=b.html
?file=content

1.Low等级

源代码

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

?> 

可以看到low等级没有做任何过滤。首先尝试一下包含一个不存在的文件。

http://127.0.0.1/dvwa/dvwa/vulnerabilities/fi/?page=1234.php

通过返回结果可以看到已经把网站的绝对路径给爆出来了。
这样可以利用文件上传加文件包含的组合拳来进行进一步操作。通过文件上传个图片马，然后通过文件包含执行该图片。

http://127.0.0.1/dvwa/dvwa/vulnerabilities/fi/?page=../../hackable/uploads/3.jpg

可以看到通过文件包含，该图片马已经被当做php文件来执行了。

2.Medium等级

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );

?> 

通过源代码可以看到过滤了http://和https://以及…/和…
我们可以通过文件的绝对路径来包含文件

http://127.0.0.1/dvwa/vulnerabilities/fi/?page=D:\phpstudy_pro\WWW\dvwa\dvwa\hackable\uploads\3.jpg

High等级

查看源代码

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?> 

high级别的代码对包含的文件名进行了限制，必须为 file* 或者 include.php ，否则会提示Error：File not found
我们可以通过file协议来进行绕过。

http://127.0.0.1/dvwa/vulnerabilities/fi/?page=file:///D:\phpstudy_pro\WWW\dvwa\hackable\uploads\3.jpg

发现文件执行成功

impossible等级

查看源代码

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Only allow include.php or file{1..3}.php
if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?> 

可以看到，impossible级别的代码使用了白名单过滤的方法，包含的文件名只能等于白名单中的文件，所以避免了文件包含漏洞的产生。