pikachu-文件包含漏洞

文件包含

php文件包含的函数：
include()：可多次包含文件，遇错产生警告，继续执行代码。
require()：可多次包含文件，遇错停止执行代码。
include_once()：只包含文件一次，遇错产生警告，继续执行代码。
require_once()：只包含文件一次，遇错停止执行代码。

文件包含的常用路径：

包含日志文件 getshell
/usr/local/apache2/logs/access_log
/logs/access_log
/etc/httpd/logs/access_log
/var/log/httpd/access_log

读取网站配置文件
dedecms 数据库配置文件 data/common.inc.php,
discuz 全局配置文件 config/config_global.php,
phpcms 配置文件 caches/configs/database.php
phpwind 配 置 文 件 conf/database.php
wordpress 配置文件 wp-config.php

包含系统配置文件windows
C:/boot.ini//查看系统版本
C:/Windows/System32/inetsrv/MetaBase.xml//IIS 配置文件
C:/Windows/repairsam//存储系统初次安装的密码
C:/Program Files/mysql/my.ini//Mysql 配置
C:/Program Files/mysql/data/mysql/user.MYD//Mysql root
C:/Windows/php.ini//php 配置信息
C:/Windows/my.ini//Mysql 配置信息

linux
/root/.ssh/authorized_keys
/root/.ssh/id_rsa
/root/.ssh/id_ras.keystore
/root/.ssh/known_hosts
/etc/passwd
/etc/shadow
/etc/my.cnf
/etc/httpd/conf/httpd.conf
/root/.bash_history
/root/.mysql_history
/proc/self/fd/fd[0-9]*(文件标识符)
/proc/mounts
/porc/config.gz

一、本地文件包含

   本地文件包含漏洞：仅能够对服务器本地的文件进行包含，由于服务器上的文件并不是攻击者所能够控制的，因此该情况下，攻击着更多的会包含一些固定的系统配置文件，从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞，从而形成更大的威力。

抓包修改，读取1.php试试。（1.php是提前放在根目录下的）

<?php
phpinfo();
?>

这里回显出php.ini的路径，结合此路径推测一下win.ini的路径，再试试。

二、远程文件包含

  远程文件包含漏洞：能够通过url地址对远程的文件进行包含，这意味着攻击者可以传入任意的代码。

前提：
1、php的配置文件php.ini中的allow_url_include()=on，allow_url_fopen=on。
2、所包含的远程文件后缀不能与目标服务器语言相同. (比如目标服务器是php解析的, 远程服务器的文件不能是php)

看看刚才的php.ini发现allow_url_include()=off，改为on。

这里利用虚拟机kali模拟远程文件包含。在kali的/var/www/html下创建一个phpinfo.txt。kali自带了apache2，systemctl status apache2启动apache2。在本机访问phpinfo.txt。
抓包，将filename=include%2Ffile1.php的值替换成远程文件phpinfo.txt。成功了。