- 定义:在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露甚至恶意的代码注入。
- 什么是文件包含
程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,而无须再次编写,这种调用文件的过程一般被称为包含 - 文件包含漏洞的缘由
程序开发人员都希望代码更加灵活,所以通常会将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。
文件包含漏洞在PHP Web Application中居多,而在JSP,ASP,ASP.NET程序中却非常少,甚至没有包含漏洞的存在。 - 函数
include(),require()和include_once(),require_once()
文件包含漏洞分为本地文件漏洞和远程文件包含漏洞
本地文件包含(利用流程)
上传图片(含有php代码的图片)
读文件,读php文件
包含日志文件getshell
包含/proc/self/envion文件getshell
如果有phpinfo可以包含临时文件
包含data://或php://input等伪协议(需要allow_url_include=On
-
这里演示下本地文件包含漏洞
我先打开本地搭的php环境
001.PNG
这里我写的index.php里就用到文件包含(我用的是include()函数)
下面是我用文件包含漏洞读取的文件
002.PNG
003.PNG
这里还可以查看源码
004.PNG
005.PNG
我们可以用文件包含漏洞去读取自己上传的木马拿下webshell
- 在有些情况下,站点对上传图片进行二次渲染等等一些其他处理,导致我们
无法上传图片马至目标服务器时。这个时候需要通过包含 Apache 日志文件来
获取 webshell。
Apache 运行之后默认会生成两个日志文件,一个是访问日志 access.log,
另一个是错误日志 error.log。我们在请求站点文件时,Apache 会记录下来我们
的操作,并且写入到 access.log 中
由于url转码 ,你请求的url(http://127.0.0.1?=<?php phpinfo(); ?>)会被转码
(<>转码成%3c 和 %3e)这时要用burp suite抓包把(<>)改回来,然后访问apache日志就能让木马运行。
敏感信息
/root/.ssh/authorized_keys
/root/.ssh/id_rsa
/root/.ssh/id_rsa.keystore
/root/.ssh/id_rsa.pub
/root/.ssh/known_hosts
/etc/shadow
/root/.bash_history
/root/.mysql_history
/proc/self/fd/fd[0-9]* (文件标识符)
/proc/mounts
/proc/config.gz 等
文件包含代码
<?php
if(isset($_GET['f']))
{
include $_GET['f'];
}
else
{
include "show.php";
}
?>
这就是我上面演示用代码(由于对参数‘f’没有过滤,所以可以通过url读取我电脑上的任意文件)
- 远程文件包含漏洞
包含的文件不在自己本地而在第三方服务器上
远程文件包含漏洞条件php.ini配置文件中两个配置要开启
allow_url_fopen on
allow_url_include on
- 修复方案
php.ini 中open_basedir 限制访问在指定区域
过滤. /
禁止服务器远程文件包含
