文件包含漏洞(File Inclusion)
文件包含漏洞概述
在web后台开发中,程序员往往为了提高效率以及让代码看起来更加简介,会使用”包含“函数功能。比如把一系列功能函数都写进function.php中,之后当某个文件需要调用的时候就直接在文件头上写上一句<?php
include function.php>就可以调用函数代码。
但有些时候,因为网站功能需求,会让前端用户选择需要包含的文件(或者在前端的功能在使用了”包含”功能),又由于开发人员没有对要包含的这个文件进行安全考虑,就导致攻击者可以通过修改包含文件的位置来让后台执行任意文件(代码)。
这种情况我们称为“文件包含漏洞”;
文件包含漏洞有本地文件包含漏洞和远程文件包含漏洞两种情况。
文件包含漏洞topo:
文件包含漏洞:包含函数
通过include()或require()语句,可以将PHP文件的内容插入另一个PHP文件(在服务器执行它之前)。
include和require语句是相同的,除了错误处理方面。
- require会生成致命错误(E_COMPILE_ERROR)并停止脚本
- include只生成警告(E_WARNING),并且脚本会继续
Test.PHP:
<?php $color='银色的'; $car='奔驰轿车'; ?>
Index.html:
<html><body>
<h1>欢迎访问我的首页!</h1>
<?php include 'test.php';echo"我有一辆".$color.$car"。";?>
</body></html>
本地文件包含漏洞
这里让我们选择一个球员去提交,提交后会返回给我们球员的信息和照片,我们看一下此时的URL
他这个请求实际上是传了一个文件名到后台,后台对指定的目标文件去进行指定操作。
由于这个文件名是前端传到后台的,那就意味着前端的测试人员可以去修改这个文件。我们可以把这个文件改成后台的一个固定的配置文件。
我们可以看一下它后端的源码
远程文件包含漏洞
远程文件包含漏洞形式跟本地文件包含漏洞差不多,在远程包含漏洞中,攻击者可以通过访问外部地址来加载远程的代码。
远程包含漏洞的前提:如果使用的include和require,则需要php.ini配置如下(php5.4.34)
allow_url_fopen=on //默认打开
Allow_url_include=on //默认关闭
远程文件包含漏洞:写入一句话木马
进入靶场
看起来好像和上一个本地文件包含漏洞的很像,实际上它提交的是目标文件的路径
这个时候,我们可以把它改成一个远端的路径,让它去读取我们远程的一个文件。
我们这里去根目录写一个txt文件
一旦我们这个文件被执行就会生成一个这样的php文件,并执行。
我们写好后只需要将URL里的路径修改成我们这个txt文本文件的路径就好了
我们还必须知道我们生成的php文件在哪一个目录下,这也是很重要的,一般来说,他会与当前的php文件放在同级目录下
我们给它传一个参数x=ipconfig
我们就可以看到我们传进去的参数ipconfig被执行了,并将结果返回了出来。
我们看一下后台代码
这里也没有对前端传进来的文件没有做任何过滤和白名单限制,直接将它include了,只不过在这个场景下的php.ini我们是手动改过的,这样就允许include去远程调用文件,形成了这样的一个问题。
文件包含漏洞与上传漏洞的结合,防范措施
- 在功能设计上尽量不要将文件包含函数对应的文件放给前端选择和操作。
- 过滤各种 …/…/,http://,https://
- 配置 php.ini 配置文件
- allow_url_fopen = off
- allow_url_include = off
- magic_quotes_gpc = on
- 通过白名单策略,仅允许包含运行指定的文件,其他的都禁止
ni 配置文件
- allow_url_fopen = off
- allow_url_include = off
- magic_quotes_gpc = on
- 通过白名单策略,仅允许包含运行指定的文件,其他的都禁止
1502
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
