php代码审计及文件包含漏洞

php代码审计及文件包含漏洞

1.什么是文件包含

相同代码重复出现在不同文件中出现代码亢余，所以出现了文件包含函数，就是让代码更为高效。需要用到的部分会去调用，且被包含的文件会当PHP代码执行，忽略本身后缀名。文件包含分为本地文件包含（Loacl File Inclusion,LFI）和远程文件包含(Remote File Inclusion,RFI)，远程文件包含需要在php.ini中设置allow_url_include = on 和 allow_url_fopen = on

2.文件包含漏洞的定义
文件包含本身并不是漏洞，在程序写死的文件包含不会形成漏洞，几乎所有漏洞的成因都是相关参数可控，攻击者利用包含的特性，加上应用本身对文件（包含）控制不严格，最终造成攻击者进行任意文件包含。通常文件包含漏洞出现在php语言中。

3.文件包含出现的函数
include()函数：使用include引用外部文件，只有代码执行到include代码段时，调用的外部文件才会被引用并读取，当引用的文件发生错误是 ，系统只会给出个警告错误，而整个php文件会继续执行。
require()函数：在php文件被执行之前，php解析器会用被引用的文件的全部内容替换require函数语句，然后与require语句之外的其他语句组成个新的php文件，最好按新的php文件执行程序代码。
include_once()函数：使用include_once会在导入文件前先检测该文件是否在该文件的其他部分被引用过，如果有，则不会重复引用该文件，程序只能引用一次。
require_once()函数：功能与require（）相同，区别在于当重复调用同一文件时，程序只能调用一次。

2.点进去，有五个条件

分别是
1、target传参不为空和0
2、target传参必须为字符串
3、传参不能index开头
4、传参不能是import.php、export.php
继续跟进checkPageValidity()函数

发现有三种情况，checkPageValidity()函数返回ture，且都是要求$page在$whitelist数组中，

先看第一种情况，如果whitelist为空，则重新赋值。
跟进 $goto_whitelis数组，发现是一个白名单。如下图

我们来看第一个返回ture的地方，要求是传参的字符串是否在数组里面，在这里完全可以输入一个白名单的文件名，但是没有什么意义，包含一个已经写好了的文件，无法达成任何目标。

在看第二个
mb_substr()函数：截取字符串。语法：mb_substr($a,0,3),意思是截取字符串a的前三位m{b}_{s}trpos()函数:判断位置的函数，首先把传参$page连接一个问号，在查找问号的位置并返回，只会返回第一个问号的位置，如果我们传参里面有问号的话，但是在php中get传参问号会报错，因为在url中问号代表接下来是传参的意思，而自身无法作为传参值。继续看下一个判断

。
看到有一个urldecode（）函数：进行一次解码。那我们把？进行二次url编码不就可以了，编码后为%25%3f，url解码后为%3f，代码进行到这里，问号不就出来了。
去一个白名单里的文件server_binlog.php,
构造playload：target=server_binlog.php%253f/…
/1.txt

但是怎么去写webshell呢，
这个1.txt我是写服务器上的，这里的phpadmin没有上传功能
解决方法，
先找到存储位置，select @@datadir //数据存储位置，这里显示的位置是绝对路径

建一个新表，输入一句话木马

找到数据库存储文件。

测试phpinfo