程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件, 而无需再次编写,这中文件调用的过程一般被称为文件包含。 程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用, 但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。 几乎所有脚本语言都会提供文件包含的功能,但文件包含漏洞在PHP Web Application中居多, 而在JSP、ASP、ASP.NET程序中却非常少,甚至没有,这是有些语言设计的弊端。 在PHP中经常出现包含漏洞,但这并不意味这其他语言不存在。
0x001 常见文件包含函数
include()
执行到include时才包含文件,找不到被包含文件时只会产生警告,脚本将继续执行
require()
只要程序一运行就包含文件,找不到被包含的文件时会产生致命错误,并停止脚本
include_once()和require_once()
若文件中代码已被包含则不会再次包含
0x002 利用条件
*程序用include()等文件包含函数通过动态变量的范式引入需要包含的文件
*用户能够控制该动态变量
注:PHP中只要文件内容符合PHP语法规范,包含时不管扩展名是什么都会被PHP解析,
若文件内容不符合PHP语法规范则会暴漏其源码
0x003 分类
-
LFI(Local File Inclusion)
本地文件包含漏洞,顾名思义,指的是能打开并包含本地文件的漏洞。大部分情况下遇到的文件包含漏洞都是LFI。简单的测试用例如前所示。 -
RFI(Remote File Inclusion)
远程文件包含漏洞。是指能够包含远程服务器上的文件并执行。由于远程服务器的文件是我们可控的,因此漏洞一旦存在危害性会很大。
但RFI的利用条件较为苛刻,需要php.ini中进行配置allow_url_fopen = On
allow_url_include = On
两个配置选项均需要为On,才能远程包含文件成功。
0x004 包含姿势
下面例子中测试代码均为:
<?php
$file = $_GET['file'];
include $file;
?>
allow_url_fopen 默认为 On
allow_url_include 默认为 Off
若有特殊要求,会在利用条件里指出。
- php伪协议
php://input
利用条件:
allow_url_include = On。
对allow_url_fopen不做要求。
姿势:
使用php流,来向文件中写入数据。实现包含
- php://filter
利用条件:无
index.php?file=php://filter/read=convert.base64-encode/resource=index.php
通过指定末尾的文件,可以读取经base64加密后的文件源码,之后再base64解码一下就行。虽然不能直接获取到shell等,但能读取敏感文件危害也是挺大的。
import base64
base64.b64decode("PD9waHAgDQoJJGZpbGUgPSAkX0dFVFsnZmlsZSddOw0KCWluY2x1ZGUgJGZpbGU7DQo/Pg==")
b"<?php \r\n\t$file = $_GET['file'];\r\n\tinclude $file;\r\n?>"
各系统中敏感文件
windows
c:\boot.ini
c:\windows\systems32\inetsrv\MetaBase.xml
c:\windows\repair\sam
c:\windows\php.ini php配置文件
c:\windows\my.ini mysql配置文件
linux