文件包含是开发中常用的手法,程序开发人员通常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,无需再次编写函数。这一调用文件的过程被称为包含。
文件包含是web开发过程中常用的一种方法,但为什么会导致漏洞产生呢?通过本篇文章带大家走进文件包含漏洞的领域中。
一、什么是文件包含漏洞
以PHP语言为例,文件包含漏洞产生的原因是通过PHP函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露,甚至恶意的代码注入。
常用的PHP文件包含函数:
Include:找不到被包含文件时会产生警告(E_WARNING);
include_once:与include()类似,代码已经被包含则不会再次包含;
require:找不到被包含的文件时会产生致命错误(E_COMPILE_ERROR);
require_once:与require()类似,代码已经被包含则不会再次包含。
几乎所有的脚本都会提供文件包含功能,但文件包含漏洞在PHP Web Application中居多。
二、文件包含漏洞分类
文件包含漏洞分为LFI(Local File Inclusion,本地文件包含)和RFI(Remote File Inclusion,远程文件包含)两种类型。
本地文件包含是包含目标服务主机上的资源;远程文件包含是包含其他主机上的资源。其中远程文件包含需要修改配置文件php.ini,开启远程文件包含的参数:allow_url_include=On,默认是Off。
三、文件包含漏洞实例
文件包含漏洞的特性:只要文件内容符合PHP语法规范,任何扩展名都可以被当作PHP脚本解析。
利用场景:目标服务器未开启远程文件包含参数,无法远程包含文件;并且目标服务器本地没有脚本文件进行包含,只存在本地文件包含漏洞。此时可以寻找目标服务器的Web服务器日志文件路径,利用包含漏洞包含日志文件获取Webshell。
以Apache为例,Apache有两个日志文件:access.log、error.log。在用户发起请求时,会将请求写入Apache访问日志access.log,当访问发生错误时将错误写入Apache错误日志error.log。
1、登录操作机,访问http://ip,提示输入page参数
2、访问http://ip/include/include.php?page=xxx.php,包含不存在的文件,使其报错,获取服务器的Web根目录、当前网页的路径、Web服务器等信息,并猜测Web服务器的日志文件为C:\server\apache22\logs
3、包含Apache访问日志文件,?page= C:\server\apache22\logs\access.log,成功找到Apache访问日志文件
4、访问http://ip/include/<?php phpinfo();?>,将请求写入访问日志中,然后再包含访问日志文件?page= C:\server\apache22\logs\access.log,日志记录写入成功,但是没有解析脚本
5、脚本未成功解析的原因其实是因为“<”、“>”、” ”等都被编码转换,所以借助BurpSuite工具抓取数据包,并修改为编码前的脚本代码
6、再次包含访问日志文件,包含Apache日志文件成功,并解析脚本成功
7、同样,可以将脚本代码更换为一句话木马,再通过WebShell管理工具连接木马文件。
总结
通过此文,发现在无其他漏洞,只有文件包含漏洞,且目标服务器本地既无shell文件可利用,也没有远程文件包含时,可以在请求中添加脚本代码,再利用Burp Suite抓包将数据包中的编码去掉,再包含日志文件,从而Getshell。
拓展(常见日志默认路径)
Apache:
- Apache + Linux日志默认路径
/etc/httpd/logs/access_log 或 /var/log/httpd/access log - Apache + Windows日志默认路径
XAMPP套件:xampp\apache\logs\access.log
phpStudy套件:phpStudy\Apache\logs\access.log
IIS: - IIS6:
C:WINDOWS\system32\Logfiles - IIS7:
%SystemDrive%\inetpub\logs\LogFiles
Nginx:
nginx日志文件在用户安装目录的logs目录下
如安装目录为/usr/local/nginx,日志文件在/usr/local/nginx/logs下
本期作者石岩:深信服培训认证中心主任,深信服安全服务认证专家(SCSE-S),产业教育中心资深讲师,中国网络空间安全协会会员,深圳大学专业学位研究生校外导师;曾任国内知名安全厂商安全认证负责人、安全服务工程师、信息安全咨询顾问、信息安全讲师;多次为政府、运营商、企业、本科、高职学员以及高校老师进行信息安全培训;多次组织、参与职业能力评价认证工作,擅长Web安全、渗透测试、操作系统等多个方向的课程。