网络安全-文件包含漏洞原理、攻击及防御

目录

简介

类型

原理

攻击

仅本地文件包含

防御

---

简介

文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，可以使开发人员在一个代码文件中直接包含（引入）另外一个代码文件。

类型

根据不同的配置环境，文件包含漏洞分为如下两种情况：
1.本地文件包含漏洞（LFI）：仅能够对服务器本地的文件进行包含，由于服务器上的文件并不是攻击者所能够控制的，因此该情况下，攻击者更多的会包含一些固定的系统配置文件，从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞，从而形成更大的威力。
2.远程文件包含漏洞（RFI）：能够通过url地址对远程的文件进行包含，这意味着攻击者可以传入任意的代码，这种情况很严重。

原理

以PHP为例，在PHP中，提供了以下文件包含函数：

• include:找不到文件产生警告，脚本继续运行。
• include_once：相对于include，文件被包含后不会再次被包含。
• require：找不到文件，产生致命错误，脚本停止。
• require_once：相对于require，文件被包含后不会再次被包含。

这些函数在代码设计中被经常使用到。大多数情况下，文件包含函数中包含的代码文件是固定的，因此也不会出现安全问题。 但是，有些时候，文件包含的代码文件被写成了一个变量，且这个变量可以由前端用户传进来，这种情况下，如果没有做足够的安全考虑，则可能会引发文件包含漏洞。攻击者会指定一个“意想不到”的文件让包含函数去执行，从而造成恶意操作。

攻击

使用靶机：pikachu

FileInclusion(local)

我们选择一个NBA player，可以看到url，filename参数可以修改。

Windows敏感文件

Windows敏感文件

文件路径	文件作用
c:\boot.ini	查看系统版本
c:\Windows\system32\inetsrvMetaBase.xml	IIS配置文件
c:\Windows\php.ini	php配置信息
c:\Windows\my.ini	mysql配置文件，记录管理员登陆过的MYSQL用户名和密码
c:\Windows\system.ini	winnt的php配置信息
c:\Windows\win.ini	winnt的mysql配置文件
c:\mysql\data\mysql\user.MYD	mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini	存储了虚拟主机网站路径和密码
c:\windows\system32\inetsrv\MetaBase.xml	查看IIS的虚拟主机配置
c:\windows\repair\sam	WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe	6.0版本以前的serv-u管理员密码
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件	存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf\httpd.conf 或C:\apache\conf\httpd.conf	查看WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf	查看jsp开发的网站resin文件配置信息.
c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf	查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
C:\mysql\data\mysql\user.MYD	存在MYSQL系统中的用户密码
C:\Windows\System32\drivers\etc\hostswinserver	配置Telnet信息

测试

我测试了一下，发现不可以，因为它限制了include目录下，不过，我们可以使用../来到磁盘下的任意目录。

../切换目录

结合文件上传漏洞在../../unsafeupload/uploads/下的上传的文件，可以实现php代码的运行。

仅本地文件包含

仅本地文件包含时，

可以查看本地敏感文件，如/etc/passwd等

可以包含日志文件，通过其他手段写到日志文件，如WAF日志，ssh登录日志

防御

1. 文件包含参数写死
2. 文件包含参数不可由用户修改
3. 禁用目录跳转字符"../"
4. 使用文件验证白名单

由上至下，若无法做到上一条，就在下一条补足。

更多内容查看：网络安全-自学笔记

喜欢本文的请动动小手点个赞，收藏一下，有问题请下方评论，转载请注明出处，并附有原文链接，谢谢！如有侵权，请及时联系。如果您感觉有所收获，自愿打赏，可选择支付宝18833895206（小于），您的支持是我不断更新的动力。