web安全之文件包含（七）

一、文件包含漏洞介绍

服务器执行PHP文件时，可以通过文件包含函数加载另一个文件中的PHP代码，并且当PHP来执行，这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时，您只更新一个包含文件就可以了，或者当您向网站添加一张新页面时，仅仅需要修改一下菜单文件（而不是更新所有网页中的链接）。

二、文件包含相关函数

文件包含相关函数：include()、include_once()、require()、require_once()

include()：只有代码执行到该函数时才会包含文件进来，发生错误时只给出一个警告并继续向下执行。
include_once()：和include()功能相同，区别在于当重复调用同一文件时，程序只调用一次。
require()：只要程序执行就包含文件进来，发生错误时会输出错误结果并终止运行。
require_once()：和require()功能相同，区别在于当重复调用同一文件时，程序只调用一次。

include和require区别主要是，include在包含的过程中如果出现错误，会抛出一个警告，程序继续正常运行；而require函数出现错误的时候，会直接报错并退出程序的执行。
而include_once()，require_once()这两个函数，与前两个的不同之处在于这两个函数只包含一次，适用于在脚本执行期间同一个文件有可能被包括超过一次的情况下，你想确保它只被包括一次以避免函数重定义，变量重新赋值等问题。

三、漏洞产生原因

漏洞产生原因
文件包含函数加载的参数没有经过过滤或者严格的定义，可以被用户控制，包含其他恶意文件，导致了执行了非预期的代码。

示例代码

    $filename  = $_GET['filename'];
    include($filename);
?>

例如：

$_GET['filename']参数开发者没有经过严格的过滤，直接带入了include的函数，攻击者可以修改$_GET['filename']的值，执行非预期的操作。

四、利用

1.无限制本地文件包含漏洞
搭建本地测试环境，代码如下：

    $filename  = $_GET['filename'];
    include($filename);
?>

2.session文件包含漏洞
利用条件：
session的存储位置可以获取。

通过phpinfo的信息可以获取到session的存储位置。

通过phpinfo的信息，获取到session.save_path为/var/lib/php/session：

通过猜测默认的session存放位置进行尝试。

如linux下默认存储在/var/lib/php/session目录下：

session中的内容可以被控制，传入恶意代码。

示例：

session_start();
$ctfs=$_GET['ctfs'];
$_SESSION["username"]=$ctfs;
?>

漏洞分析
此php会将获取到的GET型ctfs变量的值存入到session中。
当访问http://www.ctfs-wiki/session.php?ctfs=ctfs 后，会在/var/lib/php/session目录下存储session的值。
session的文件名为sess_+sessionid，sessionid可以通过开发者模式获取。
3.有限制本地文件包含漏洞绕过
条件：magic_quotes_gpc = Off php版本<5.3.4

测试代码：

    $filename  = $_GET['filename'];
    include($filename . ".html");
?>

测试结果：

4.路径长度截断

条件：windows OS，点号需要长于256；linux OS 长于4096

Windows下目录最大长度为256字节，超出的部分会被丢弃；

Linux下目录最大长度为4096字节，超出的部分会被丢弃。

测试代码：

    $filename  = $_GET['filename'];
    include($filename . ".html");
?>

EXP:

http://127.0.0.1/FI/FI.php?filename=test.txt/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././

5.点号截断

条件：windows OS，点号需要长于256

测试代码：

    $filename  = $_GET['filename'];
    include($filename . ".html");
?>

EXP:

http://www.ctfs-wiki.com/FI/FI.php
?filename=test.txt…

五、常见敏感目录

常见的敏感信息路径：

Windows系统

c:\boot.ini // 查看系统版本

c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件

c:\windows\repair\sam // 存储Windows系统初次安装的密码

c:\ProgramFiles\mysql\my.ini // MySQL配置

c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码

c:\windows\php.ini // php 配置信息

Linux/Unix系统

/etc/passwd // 账户信息

/etc/shadow // 账户密码文件

/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件

/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置

/usr/local/app/php5/lib/php.ini // PHP相关配置

/etc/httpd/conf/httpd.conf // Apache配置文件

/etc/my.conf // mysql 配置文件

六、常见绕过方法

1.问号绕过
http://127.0.0.1/FI/WFI.php?filename=http://127.0.0.1/FI/php.txt?

2.#号绕过
http://127.0.0.1/FI/WFI.php?filename=http://127.0.0.1/FI/php.txt%23

3.空格绕过
http://127.0.0.1/FI/WFI.php?filename=http://127.0.0.1/FI/php.txt%20

七、伪协议

PHP 带有很多内置 URL 风格的封装协议，可用于类似 fopen()、 copy()、 file_exists() 和 filesize() 的文件系统函数。 除了这些封装协议，还能通过 stream_wrapper_register() 来注册自定义的封装协议。

php:// 输入输出流
PHP 提供了一些杂项输入/输出（IO）流，允许访问 PHP 的输入输出流、标准输入输出和错误描述符， 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

php://filter（本地磁盘文件进行读取）
元封装器，设计用于"数据流打开"时的"筛选过滤"应用，对本地磁盘文件进行读写。

用法：?filename=php://filter/convert.base64-encode/resource=xxx.php ?filename=php://filter/read=convert.base64-encode/resource=xxx.php 一样。

条件：只是读取，需要开启 allow_url_fopen，不需要开启 allow_url_include；

测试代码：

    $filename  = $_GET['filename'];
    include($filename);
?>

php://input
可以访问请求的原始数据的只读流。即可以直接读取到POST上没有经过解析的原始数据。 enctype=“multipart/form-data” 的时候 php://input 是无效的。

用法：?file=php://input 数据利用POST传过去。

php://input （读取POST数据）
碰到file_get_contents()就要想到用php://input绕过，因为php伪协议也是可以利用http协议的，即可以使用POST方式传数据，具体函数意义下一项；
测试代码：

    echo file_get_contents("php://input");
?>

php://input（写入木马）
测试代码：

    $filename  = $_GET['filename'];
    include($filename);
?>

条件：php配置文件中需同时开启 allow_url_fopen 和 allow_url_include（PHP < 5.3.0）,就可以造成任意代码执行，在这可以理解成远程文件包含漏洞（RFI），即POST过去PHP代码，即可执行。

如果POST的数据是执行写入一句话木马的PHP代码，就会在当前目录下写入一个木马。

 fputs(fopen('shell.php','w'),'');?>

测试结果：

如果不开启allow_url_include会报错：

php://input（命令执行）
测试代码：

    $filename  = $_GET['filename'];
    include($filename);
?>

条件：php配置文件中需同时开启 allow_url_fopen 和 allow_url_include（PHP < 5.30）,就可以造成任意代码执行，在这可以理解成远程文件包含漏洞（RFI），即POST过去PHP代码，即可执行；

如果不开启allow_url_include会报错：

file://伪协议 （读取文件内容）
通过file协议可以访问本地文件系统，读取到文件的内容

测试代码：

    $filename  = $_GET['filename'];
    include($filename);
?>

data://伪协议
数据流封装器，和php://相似都是利用了流的概念，将原本的include的文件流重定向到了用户可控制的输入流中，简单来说就是执行文件的包含方法包含了你的输入流，通过你输入payload来实现目的； data://text/plain;base64,dGhlIHVzZXIgaXMgYWRtaW4

data://（读取文件）

和php伪协议的input类似，碰到file_get_contents()来用；

注意：闭合;

如果php.ini里的allow_url_include=On（PHP < 5.3.0）,就可以造成任意代码执行，同理在这就可以理解成远程文件包含漏洞（RFI） 测试代码：

    $filename  = $_GET['filename'];
    include($filename);
?>

phar://伪协议
这个参数是就是php解压缩包的一个函数，不管后缀是什么，都会当做压缩包来解压。

用法：?file=phar://压缩包/内部文件 phar://xxx.png/shell.php 注意： PHP > =5.3.0 压缩包需要是zip协议压缩，rar不行，将木马文件压缩后，改为其他任意格式的文件都可以正常使用。 步骤： 写一个一句话木马文件shell.php，然后用zip协议压缩为shell.zip，然后将后缀改为png等其他格式。

测试代码：

    $filename  = $_GET['filename'];
    include($filename);
?>

zip://伪协议
zip伪协议和phar协议类似，但是用法不一样。

用法：?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名] zip://xxx.png#shell.php。

条件： PHP > =5.3.0，注意在windows下测试要5.3.0

测试代码：

    $filename  = $_GET['filename'];
    include($filename);
?>

八、防御

1.严格检查变量是否已经初始化。
2.严格判断包含中的参数是否外部可控。
3.基于白名单的包含文件验证，验证被包含的文件是否在白名单中。
4.尽量不要使用动态包含，可以在需要包含的页面固定写好，如：include(“func.php”)。
5.对所有输入提交可能包含的文件地址，包括服务器本地文件及远程文件，进行严格的检查，参数中不允许出现…/之类的目录跳转符。
6.可以通过调用str_replace()函数实现相关敏感字符的过滤，一定程度上防御了远程文件包含。