文件包含漏洞:服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当作PHP执行,可以给开发者节省大量的时间,从而也导致了客户端可以调用一个恶意文件,造成文件包含漏洞。
常见的文件包含函数require()、require_once()、include()、include_once()
文件包含实例
网页为include函数包含CMD参数内容
在同目录下还有一个1.php文件,内容如下(后续会包含显示的内容)
在物理机进行访问并且传参,得到页面返回,文件包含成功
除本目录还可以传参对根目录的文件进行访问(每个windows在windows文件夹中都有一个win.ini文件,在这里尝试包含此文件;linux系统中可以尝试包含/etc/passwd文件)
由于实战环境中并不清楚文件路径,使用相对路径,先退回到根目录,再对目标文件进行访问。
如果有恶意文件上传至服务器并执行(在这里直接将恶意文件放在服务器的c盘下)恶意文件内容如下,调用系统命令打开计算器
在物理机上对恶意文件进行包含,里面的php代码就会执行,服务器上的计算机被打开,正常执行
文件包含分类
文件包含分为本地文件包含和远程文件包含
本地文件包含可以包含当前服务器系统下的文件
远程文件包含可以包含其他服务器上的文件(前提条件:allow_url_include、allow_url_fopen的状态为ON)
文件包含漏洞实例
一、本地文件包含
1、在参数点是一个文件名可以尝试测试文件包含漏洞是否存在,代码审计中看到文件包含函数,可以看是否与用户交互,如果在包含函数传参的位置有交互,也是有文件包含漏洞存在的可能的。
2、找到之后,将上传的文件参数改成想要得到的对方服务器上的文件相对路径。
二、远程文件包含
1、在另一台服务器(kali)上写入一个想要包含的文件,并开启web服务
2、通过物理机包含kali服务器上的文件
可以看到执行了写在kali服务器上的1.txt文件,而文件中的函数作用在win08服务器上。
远程文件包含的危害较本地文件包含更大,但相应有前提。
伪协议
php://input伪协议:(将post输入流当作php代码执行,include开关打开)
php://filter伪协议:(此协议主要用于读取php源代码时会用到,两个开关随意)
得到的内容是经过base64加密的,经过解密后就可以得到源码
phar://伪协议:(php代码执行,两个开关均不受影响)
zip://伪协议(与phar伪协议很相似)
将php文件打包成压缩包进行上传(在只能上传压缩包的点配合文件上传利用漏洞)
data://伪协议:(php代码执行,两个开关都需要打开)
可以通过base64的加密,绕过过滤php代码的点,可以使php代码正常执行。
在本地文件包含中,只能访问到网站所在盘符上的文件,这里可以通过file伪协议实现跨盘的文件包含,从而拿下整台服务器。
文件包含的绕过
../被禁掉的时候可以用url编码实现绕过
协议被禁掉的时候可以尝试使用phar或zip伪协议实现绕过
