简介
程序员在通过函数进行文件引入时,对引入的文件名没有经过严格的过滤,从而产生了预想之外的文件操作(恶意文件),这就是文件包含漏洞。
文件包含漏洞分为本地文件包含漏洞(LFI)和远程文件包含漏洞(RFI)。
本地文件包含:当被包含的文件在本地服务器时,就叫做本地文件包含
例:../../../../../etc/passwd
远程文件包含:当被包含的文件在第三方服务器时,就叫做远程文件包含
例:http://www.baidu.com 可以直接打开百度
- 本地文件包含漏洞需要满足以下两个条件:
- allow_url_fopen=On
- 用户可以控制动态变量,写入恶意攻击语句
- 远程文件包含漏洞也需要满足两个条件:
- allow_url_fopen=On且allow_url_include=On
- 用户可以控制动态变量
在PHP5.2开始,allow_url_include是默认关闭的,而allow_url_include默认开启。
LOW
(1)点击第一个文件,url的变化如下
(2)修改?page = cx.php,报错出路径(本地靶场),根目录D:\CTF\phpstudy_pro\WWW\DVWA-master。
(3)尝试读取phpinfo,正常回显。
(4) 再尝试一下,远程文件包含。
Medium
查看页面源代码
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\\" ), "", $file );
?>
这个地方加了一些过滤,将“http://”,“http://”,"../","..\"全部替换成了空。
(1)针对过滤,构造payload: hhttp://ttp://www.baidu.com,主要针对http://的构造。
(2)想要网页访问本地文件,依据前面提到的访问,首先回显出dvwa的根目录
HIGH
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
// This isn't the page we want!
echo "ERROR: File not found!";
exit;
}
?>
fnmatch()函数根据指定的模式来匹配文件名或字符串。
fnmatch(pattern,string,flags)
要求page参数的开头必须是file,构造payload: ?page=file:///D:/CTF/phpstudy_pro/WWW/DVWA-master/phpinfo.php
file:// — 访问本地文件系统
伪协议
php://input(接收POST过来的值)
php://filter : php://filter/read=convert.base64-encode/resource=filename.ext 使用base64编码可以更好的读取到源码