一、什么是文件包含?
文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在PHP中,提供了:
include( )
当使用该函数包含文件时,只有代码执行到 include()函数时才将文件包含
进来,发生错误时之给出一个警告,继续向下执行。
include_once( )
功能与 Include()相同,区别在于当重复调用同一文件时,程序只调用一次
require( )
require()与 include()的区别在于 require()执行如果发生错误,函数会输出
错误信息,并终止脚本的运行。
require_once( )
功能与 require()相同,区别在于当重复调用同一文件时,程序只调用一次。
二、文件包含漏洞的成因?
大多数情况下,文件包含函数中包含的代码文件是固定的,因此也不会出现安全问题。 但是,有些时候,文件包含的代码文件被写成了一个变量,且这个变量可以由前端用户传进来,这种情况下,如果没有做足够的安全考虑,则可能会引发文件包含漏洞。 攻击者会指定一个“意想不到”的文件让包含函数去执行,从而造成恶意操作。
三、本地包含和远程包含
<1>本地包含
仅能够对服务器本地的文件进行包含,由于服务器上的文件并不是攻击者所能够控制的,因此该情况下,攻击着更多的会包含一些固定的系统配置文件,从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞,从而形成更大的威力。
<2>远程包含
能够通过url地址对远程的文件进行包含,这意味着攻击者可以传入任意的代码。
$html='';
if(isset($_GET['submit']) && $_GET['filename']!=null){
$filename=$_GET['filename'];
include "include/$filename";//变量传进来直接包含,没做任何的安全限制
// //安全的写法,使用白名单,严格指定包含的文件名
// if($filename=='file1.php' || $filename=='file2.php' || $filename=='file3.php' || $filename=='file4.php' || $filename=='file5.php'){
// include "include/$filename";
// }
}
//远程文件包含漏洞,需要php.ini的配置文件符合相关的配置
$html='';
if(isset($_GET['submit']) && $_GET['filename']!=null){
$filename=$_GET['filename'];
include "$filename";//变量传进来直接包含,没做任何的安全限制
}
这里代码中本地包含和远程包含的区别在于include包含的方式,这决定了是否能包含本地文件或者远程文件。
四、实例演示
本地包含
例如我们想要访问E盘下的一个1.txt文件,fi_local.php当前路径为:E:\phpstudy2020\phpstudy\phpstudy_pro\WWW\pikachu-master\vul\fileinclude,所以我们可以将filename后的参数替换为:…/…/…/…/…/…/…/…/1.txt,回车访问发现读取成功。
远程包含
这里包含我们本地目录下的一个php文件,将filename替换为:http://192.168.59.1:8080/ws.php,读取成功。
其实这里我们也可以包含一个网站URL,因为URL也会被当做传进来的文件名进行解析,例如我们这里尝试包含www.baidu.com。
五、防御方法
1.PHP 中使用 open_basedir 配置限制访问在指定的区域。
2.过滤.(点)/(反斜杠)\(反斜杠)。
3.禁止服务器远程文件包含。