文件包含漏洞

文件包含漏洞

产生的原因：通过引入文件时，用户可控，没有严格的检验，或是被绕过，操作一些敏感文件，导致文件泄露和恶意代码注入
当包含文件在服务器本地上，就形成本地文件包含，当包含的文件在第三方服务器是，就形成可远程文件包含。

常见的漏洞代码

if (isset($_GET[page])) {
include $_GET[page];
} else {
include "home.PHP";
}
其中$_GET[page]使用户可以控制变量。如果没有严格的过滤就导致漏洞的出现

包含文件的函数

1.include()

2.include_once()

3.require()

4.require_once()

代码审计的时候，是否是变量，不过滤，过滤不严格，函数include/require

远程文件包含和本地文件包含的配置区别

本地文件包含php.ini配置文件中开启allow_url_include
远程文件包含与本地文件包含的区别（开启allow_url_include和allow_url——ftp on）
远程文件(包括本地文件包含)包含比本地文件包含的危害大

本地文件包含利用

• 上传图片GETshell
• 读取文件，读取php文件
• 包含日志文件获取webshell

 1.首先找到文件存放位置
 有权限读取apache配置文件或是/etc/init.d/httpd
 默认位置/var/log/httpd/access_log

2.让日志文件插入php代码
发送url请求时后插入php代码，一般使用burp抓包修改
curl发包
插入到get请求，或是user-agent部分
3.包含日志文件（必须要权限包含）

• 包含/proc/self/environ 文件webshell
• phpinfo.php 可以包含临时文件（显示临时文件路径）写工具发包上传文件。查看返回信息路径。在使用include包含文件（速度要求快）
• 包含data//或是php://input协议（伪协议，需要allow_url_include=On）

1.包含文件上传的图片
<?php
if ($_GET[page]) {
include($_GET[page]);
} else {
include "show.php";
} //利用page=/uploads/xxx.jpg
用户控制$_GET[page]里面内容 包含一个带有恶意代码的上传图片。getshell
（其中要找到上传图片的绝得路径）
2.包含文件上传的第二种
<?php
if ($_GET[page]) {
include("./action/".$_GET[page]);
} else {
include "./action/show.php";
} //利用page=../uploads/xxx.jpg 跳出当前目录
3.第三种包含上传
<?php
if ($_GET[page]) {
include("./action/".$_GET[page].".php");
} else {
include "./action/show.php";
} // 可以看出会在后面追加一个.php后缀 ../uploads/xxx.jpg%00截断后面的.php
需要开启（magic_quotes_gpc=off，php小于5.3.4）

windows环境下

IIS配置文件，查找日志路径

apache/nginx
集成环境
包含日志文件，查看是与否有权限读取文件（可以解析正常）。

事例

1.## 文件包含漏洞
产生的原因：通过引入文件时，用户可控，没有严格的检验，或是被绕过，操作一些敏感文件，导致文件泄露和恶意代码注入
当包含文件在服务器本地上，就形成本地文件包含，当包含的文件在第三方服务器是，就形成可远程文件包含。

常见的漏洞代码

if (isset($_GET[page])) {
include $_GET[page];
} else {
include "home.PHP";
}
其中$_GET[page]使用户可以控制变量。如果没有严格的过滤就导致漏洞的出现

包含文件的函数

1.include()

2.include_once()

3.require()

4.require_once()

代码审计的时候，是否是变量，不过滤，过滤不严格，函数include/require

> 远程文件包含和本地文件包含的配置区别

本地文件包含php.ini配置文件中开启allow_url_include
远程文件包含与本地文件包含的区别（开启allow_url_include和allow_url——ftp on）
远程文件(包括本地文件包含)包含比本地文件包含的危害大

#### windows环境下
IIS配置文件，查找日志路径

apache/nginx
集成环境
包含日志文件，查看是与否有权限读取文件（可以解析正常）。

#### 事例
1.
![](http://upload-images.jianshu.io/upload_images/2495234-669882c3b1b47585.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
上传一个图片，包含文件，include函数在遇到<?会按php解析
2.
![](http://upload-images.jianshu.io/upload_images/2495234-8c200d9fd7e58efa.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
使用跳出。包含文件
3.
![](http://upload-images.jianshu.io/upload_images/2495234-40338cee7529f751.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
我的php版本是5.5.9不能使用截断
4.
![](http://upload-images.jianshu.io/upload_images/2495234-361c8dbd0e7e4ba6.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
主要url栏里面回会把尖括号换成16进制。
可以通过curl请求来完成。

![](http://upload-images.jianshu.io/upload_images/2495234-08a3fcdbd6a98ab9.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
然后包含日志文件getshell
![](http://upload-images.jianshu.io/upload_images/2495234-d5e780b613581f78.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

或是通过抓包来插入一句话

![](http://upload-images.jianshu.io/upload_images/2495234-3305e5c95124c808.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)


![](http://upload-images.jianshu.io/upload_images/2495234-be030cfa44955a06.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
条件有点困难
**远程文件包含**
远程编写一个非php后缀的文件。里面的内容是php代码。
用来实现远程加载，恶意代码。getshell

![](http://upload-images.jianshu.io/upload_images/2495234-304f940df57b2c16.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

### 防御
* PHP中使用open_basedir限制访问区域
* 过滤.（点）/（斜杠）（反斜杠）
* 禁止服务器远程文件包含。

文章来源于转载