漏洞概述
开发web应用程序时,为了提高代码利用率,通常会把经常使用的函数写到单个文件夹中,在使用函数时,直接调用此文件,这种调用文件的过程称为文件包含
程序开发人员为使代码更加灵活,通常会将被包含的文件设置为变量,进行动态调用
漏洞产生的主要原因是
1.函数通过动态变量引入文件,且用户可以控制该变量
2.应用程序未对变量进行有效过滤和限制
文件包含函数
此漏洞在php中较多。在使用文件包含功能时,需将配置文件php.ini设置为allow_url_fopen=one和allow_url_include=one。php主要使用require、 require_once、include、include_once四个函数实现文件包含功能,当使用他们时,被包含的文件都会被解析为php脚本
漏洞利用涉及的伪协议
简单的测试模型
file://协议
主要用于访问计算机本地文件,类似使用Windows资源管理器打开文件
协议的基本格式为file:///文件路径
利用漏洞测试模型测试,d盘下创建1.txt,内容为 hello word!
http://协议
在网站根目录创建fileinclude.txt,内容为<?php echo 'hello word!',利用漏洞测试模型测试,可见结果是代码执行结果而不是txt文件内容,即文件包含函数将包含文件均按php脚本解析运行
zip:// 、phar://协议
他们均属于压缩流协议,可以用来访问压缩文件中的子文件,且不需要指定文件后缀名
zip://协议的基本格式 zip://[压缩文件绝对路径]%23[压缩文件内的子文件名],测试案例如下:
在d盘创建shell.txt文件,内容<?php echo 'hello word!' ; 将其压缩并修改名字为shell.jpg
可见结果是代码执行结果而不是txt文件内容,即文件包含函数将包含文件均按php脚本解析运行,且zip://协议解析压缩包时不受文件扩展名的限制
phar://协议的基本格式 phar://[压缩文件绝对路径] / [压缩文件内的子文件名], 与zip://协议使用格式略有区别,其它相同
php://协议
php://filter 协议常用于读取文件源码,php://input常用于执行代码
过滤器列表
php:filter 常用的格式 php://filter/read=convert.base64-encode/resource=[文件名]
功能是读取代码文件中的源代码,php文件需要base编码
测试案例,在根目录下创建shell.php
解码结果如图,即php://filter可以读取php文件源代码
php://input协议请求数据的只读流,将POST请求的数据作为php代码执行,测试案例http://www.tp6.com/fileinclude.php?page=php://input,利用bp拦截,并发送POST数据<?php phpinfo(); 由图可知,发送的POST数据得到了执行
data://协议
data://数据流封装器主要用于传递相应格式的数据,通常用来执行php代码,格式如下
data://text/plain,[代码]
data://text/plain;base64,[代码]
测试案例,可知代码<?php phpinfo(); ?>得到了执行
漏洞利用
图片木马获取webshell,将木马图片上传,bp抓包,修改后缀为php后放包
综合利用图片木马和文件包含漏洞可以获取webshell
实战演练
攻防世界高手进阶web_php_incude
从代码中得知带有php://的都会被删除
方法一 大小写绕过
用bp拦截数据包,并发送到repeater模块,在get/后添加page=PHP://input ,然后添加需要发送的post数据,再将包发送到服务器,从服务器返回的数据如图,目录下包括三个文件,判断fl4gisisish3r3.php存储flag
PHP://filter/read=convert.base64-encode/resource=fl4gisisish3r3.php
方法二 利用data://伪协议
方法三 利用data://伪协议木马
漏洞防御
- 使用文件包含时如非必要,尽量使用静态包含
- 使用文件包含时,如果文件名可以确定,可以设置白名单对传入的参数进行限制
- 配置open_basedir选项可以限定用户需要执行的文件目录
- 配置allow_url_include选项可以禁止通过Include/Require进行远程文件包含