文件包含漏洞详解

写在前！

---

---

文件包含漏洞分析成因

我们先直接来看一个简单的例子，网页代码如下:

<?php
	include $_GET['test'];
?>

在创建一个phpinfo.php页面，代码如下:

<?php
	phpinfo();
?>

利用文件包含，我们通过include函数来执行phpinfo.php页面，成功解析

将phpinfo.php文件后缀改为txt后进行访问，依然可以解析:

将phpinfo.php文件后缀改为jpg格式，也可以解析:

可以看出，include()函数并不在意被包含的文件是什么类型，只要有php代码，都会被解析出来。

在上一期的文件上传漏洞的总结中，我们上传了一个jpg格式的一句话木马，如果网站有文件包含漏洞，jpg文件就可以被当做php文件解析，所以这就是文件上传漏洞通常配合文件上传使用。

什么是文件包含呢

什么叫包含呢？以PHP为例，我们常常把可重复使用的函数写入到单个文件中，在使用该函数时，直接调用此文件，而无需再次编写函数，这一过程叫做包含。

有时候由于网站功能需求，会让前端用户选择要包含的文件，而开发人员又没有对要包含的文件进行安全考虑，就导致攻击者可以通过修改文件的位置来让后台执行任意文件，从而导致文件包含漏洞。

以PHP为例,常用的文件包含函数有以下四种
include(),require(),include_once(),require_once()

区别如下:

require():找不到被包含的文件会产生致命错误，并停止脚本运行
include():找不到被包含的文件只会产生警告，脚本继续执行
require_once()与require()类似:唯一的区别是如果该文件的代码已经被包含，则不会再次包含
include_once()与include()类似:唯一的区别是如果该文件的代码已经被包含，则不会再次包含

本地文件包含漏洞(LFI)

能够打开并包含本地文件的漏洞，我们称为本地文件包含漏洞(LFI)
测试网页包含如下代码:

<?php
	$file=$_GET['filename'];
	include($file);
?>

例如:C:\Windows\system.ini文件。

使用绝对路径

使用绝对路径直接读取:

使用相对路径进行读取

通过./表示当前位置路径，…/表示上一级路径位置，在linux中同样适用。
例如当前页面所在路径为C:\Apache24\htdocs\，我们需要使用…/退到C盘再进行访问，构造路径如下：
…/…/windows/system.ini

一些常见的敏感目录信息路径:

Windows系统:

C:\boot.ini //查看系统版本
C:\windows\system32\inetsrv\MetaBase.xml //IIS配置文件
C:\windows\repair\sam //存储Windows系统初次安装的密码
C:\ProgramFiles\mysql\my.ini //Mysql配置
C:\ProgramFiles\mysql\data\mysql\user.MYD //MySQL root密码
C:\windows\php.ini //php配置信息

Linux/Unix系统:

/etc/password //账户信息
/etc/shadow //账户密码信息
/usr/local/app/apache2/conf/httpd.conf //Apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhost.conf //虚拟网站配置
/usr/local/app/php5/lib/php.ini //PHP相关配置
/etc/httpd/conf/httpd.conf //Apache配置文件
/etc/my.conf //mysql配置文件

示例：pandas 是基于NumPy 的一种工具，该工具是为了解决数据分析任务而创建的。

远程文件包含(RFI)

如果PHP的配置选项allow_url_include、allow_url_fopen状态为ON的话，则include/require函数是可以加载远程文件的，这种漏洞被称为远程文件包含(RFI)

PHP伪协议

PHP内置了很多URL风格的封装协议，可用于类似fopen()、copy()、file_exists()和filesize()的文件系统函数

file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流（I/O streams）
zlib:// — 压缩流
data:// — 数据（RFC 2397）
glob:// — 查找匹配的文件路径模式

phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流

file://协议

file:// 用于访问本地文件系统，在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响

php://协议

php:// 访问各个输入/输出流（I/O streams），在CTF中经常使用的是php://filter和php://input
php://filter用于读取源码。
php://input用于执行php代码。

php://filter 读取源代码并进行base64编码输出，不然会直接当做php代码执行就看不到源代码内容了。
利用条件:

allow_url_fopen ：off/on
allow_url_include：off/on
例如有一些敏感信息会保存在php文件中，如果我们直接利用文件包含去打开一个php文件，php代码是不会显示在页面上的，例如打开当前目录下的2.php:

输入
php://filter/convert.base64-encode/resource=文件路径
得到2.php加密后的源码：
再进行base64解码，获取到2.php的完整源码信息：

php://input 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。当传入的参数作为文件名打开时，可以将参数设为php://input,同时post想设置的文件内容，php执行时会将post内容当作文件内容。从而导致任意代码执行。
利用条件:

allow_url_fopen ：off/on
allow_url_include：on
利用该方法，我们可以直接写入php文件，输入file=php://input，然后使用burp抓包，写入php代码：

zip://协议

条件：allow_url_fopen: off/on allow_url_include: off/on
1 、现将要执行 php 代码写好并且命名为 a.txt，将 a.txt 进行 zip 压缩，命名为 a.zip，如果可以上传 zip 文件便直接上传，如若不能可将 a.zip 命名为 a.jpg 上传；
2 、将 a.php 直接压缩成 a.bz2

?file=zip://D:/phpstudy/PHPTutorial/WWW/a.zip%23a.txt 
?file=zip://D:/phpstudy/PHPTutorial/WWW/a.jpg%23a.txt

phar://协议

条件：allow_url_fopen: off/on allow_url_include: off/on php 版本大于等于php5.3.0

data

allow_url_fopen: on allow_url_include: on

?page=data://test/plain,<?php phpinfo();?>
?page=data://test/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

http

allow_url_fopen与allow_url_include同时开启。缺一不可

?file=http://www.baidu.com

文件包含漏洞防护

1、使用str_replace等方法过滤掉危险字符

2、配置open_basedir，防止目录遍历（open_basedir 将php所能打开的文件限制在指定的目录树中）

3、php版本升级，防止%00截断

4、对上传的文件进行重命名，防止被读取

5、对于动态包含的文件可以设置一个白名单，不读取非白名单的文件。

6、做好管理员权限划分，做好文件的权限管理，allow_url_include和allow_url_fopen最小权限化