概述
文件包含漏洞(File Inclusion)是一种最常见的依赖于脚本运行而影响 Web 应用程序的漏洞。当应用程序使用攻击者控制的变量建立一个可执行代码的路径,允许攻击者控制在运行时执行哪个文件时,就会导致文件包含漏洞。如192.168.0.1/xx/?page=info.php
,后面的page=info.php
如果前后端不对参数做严格的处理,就可能构成文件包含漏洞。本质是在服务器调用文件时,权限处理不当而被攻击者传入其他敏感的文件参数,导致敏感文件被服务器读取或下载,使得敏感信息泄露。
分类
- 远程文件包含(RFI,Remote File Inclusion):当 Web 应用程序下载并执行远程文件时,会导致远程文件包含,这些远程文件通常以 HTTP 或 FTP URI 的形式获取,作为Web 应用程序的用户提供的参数。
可能获取到shell,钓鱼。
- 本地文件包含(LFI,Local File Inclusion):本地文件包含类似于远程文件包含,本地文件包含仅能包括本地文件,即当前服务器上的文件以供执行。
充当垫脚石,查看文件。
DVWA靶场绕过
- 低级:没做任何处理,payload
/etc/passwd
或http://www.xxx.com
。 - 中级:过滤了
http://
、https://
、../
、..\\
,paylaodhthttp://tp://www.xxx.com
或/etc/passwd
。 - 高级:参数必须以
file
或include.php
开头,payloadfile1.php../../../../../../../../../../../etc/passwd
或file:///etc/passwd
。
修复建议
- 严格检查变量是否已经初始化。
- 对所有输入提交可能包含的文件地址,包括服务器本地文件及远程文件,进行严格的检查,参数中不允许出现./和…/等目录跳转符。
- 严格检查文件包含函数中的参数是否外界可控。
总结
最有效的防护方法是白名单,但是在生产环境下不现实。
获取目标机器shell攻击链:发现文件包含漏洞,往目标机器本地(或远端服务器)文件中写入webshell,利用文件包含的漏洞去包含该文件,看文件中的内容是否能被当成php代码执行。前提条件是知道写入文件的位置,以及写入的文件能被当成php代码执行。