File Inclusion（文件包含漏洞）

File Inclusion：

• 当服务器开启allow_url_include选项时，就可以通过php的某些特性函数（include()，require()和include_once()，require_once()）利用url去动态包含文件
• 文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞，远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项（选项开启之后，服务器允许包含一个远程的文件）。

Low：

源代码：

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );

?>

点击file1.php后，观察到url跳转为http://127.0.0.1/DVWA/vulnerabilities/fi/?page=file1.php，尝试修改读取下一个文件

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=file2.php读到下一个文件

通过修改page的值，可以访问到主机的任意文件

Medium：

源代码：

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation 输入验证
$file = str_replace( array( "http://", "https://" ), "", $file );  
$file = str_replace( array( "../", "..\"" ), "", $file );
// 将￥file中的"http://", "https://" 替换成""，"../", "..\""替换成""，也就是把这些字符串删除，再赋给￥file
?> 

• str_replace() 函数替换字符串中的一些字符（区分大小写）。

漏洞利用：

• 使用str_replace函数是极其不安全的，因为可以使用双写绕过替换规则。
• 例如?page=hthttp://tp://www.baidu.com时，str_replace函数会将http://删除，于是?page=http://baidu.com成功执行远程命令。
• 替换的只是“…/”、“…\”，所以对采用绝对路径的方式包含文件也是不会受到任何限制的。

High：

源代码：

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" )  {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?>

fnmatch()函数，根据指定的模式来匹配文件名或字符串。fnmatch(pattern,string,flags)

要求page参数的开头必须是file，我们依然可以利用file协议绕过防护策略。

http://127.0.0.1/dvwa/vulnerabilities/fi/page=file:///路径

就可以包含文件