本文介绍了文件包含漏洞的两种类型:本地文件包含和远程文件包含,以及它们可能带来的安全风险。本地文件包含可能涉及读取系统敏感信息,而远程文件包含可能导致恶意代码执行。举例展示了利用BurpSuite进行漏洞利用的过程,并提出了防御措施,包括避免前端控制文件包含、过滤特殊字符、禁用URL包含功能以及实施白名单策略。
简介
简单一句话,为了更好地使用代码的重用性,引入了文件包含函数,可以通过文件包含函数将文件包含进来,直接使用包含文件的代码。
文件包含漏洞分为如下两种情况:
本地文件包含漏洞:
仅能够对服务器本地的文件进行包含,由于服务器上的文件并不是攻击者所能够控制的,因此该情况下,攻击者更多的会包含一些固定的系统配置文件,从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞,从而形成更大的威力。
远程文件包含漏洞:
能够通过url地址对远程的文件进行包含,这意味着攻击者可以传入任意的代码,这种情况没啥好说的,准备挂彩。
因此,在web应用系统的功能设计上尽量不要让前端用户直接传变量给包含函数,如果非要这么做,也一定要做严格的白名单策略进行过滤。
靶机搭建可以查看下面文章:
中文版Pikachu web靶机平台搭建指南,英语小白的福音
(让人欲罢不能的靶机系统)metasploitable2安装实战
工具使用可以查看下面文章:
渗透武器库--burpSuite实战(最强web安全工具,没有之一)
实战
本地文件包含漏洞
1.页面有一个查看栏,随便点击一个查看.
2.使用burpsuite抓包查看,发现使用filename调用文件。
3.构建文件名/etc/password替换file1.php 可以包含本地文件中的内容
4.如果和上传漏洞结合就会变成,上传webshell木马,然后使用文件包含打开木马进行连接,和直接访问webshell不一样的是,文件包含运行的木马文件可以是任何类型,txt、jpg、log等。
(源码)
远程文件包含漏洞
远程包含漏洞的前提:如果使用的是include和require,我们则需要对php.ini进行如下配置:allow_url_fopen = on //默认打开Allow_url_include=on //默认关闭。
1.还是一样有一个查看栏,随便点击一个看看。
2.使用burpsuite抓包查看,发现使用filename使用了include过滤,但是可能有SSRF漏洞。
3.使用burpsuite引入远程文件试试,结果是可以引入远程文件。
防御措施:1、在功能设计上尽量不要将文件包含函数对应的文件放给前端进行选择和操作。2、过滤各种../../,http://,https://3、配置php.ini配置文件:allow_url_fopen = offallow_url_include=offmagic_quotes_gpc=on4、通过白名单策略,仅允许包含运行指定的文件,其他的都禁止。
557
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
