Web安全实战系列：文件包含漏洞

《Web安全实战》系列集合了WEB类常见的各种漏洞，笔者根据自己在Web安全领域中学习和工作的经验，对漏洞原理和漏洞利用面进行了总结分析，致力于漏洞准确性、丰富性，希望对WEB安全工作者、WEB安全学习者能有所帮助，减少获取知识的时间成本。
0×01 文件包含简介
服务器执行PHP文件时，可以通过文件包含函数加载另一个文件中的PHP代码，并且当PHP来执行，这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时，您只更新一个包含文件就可以了，或者当您向网站添加一张新页面时，仅仅需要修改一下菜单文件（而不是更新所有网页中的链接）。
文件包含函数
PHP中文件包含函数有以下四种：
require()
require_once()
include()
include_once()
include和require区别主要是，include在包含的过程中如果出现错误，会抛出一个警告，程序继续正常运行；而require函数出现错误的时候，会直接报错并退出程序的执行。
而include_once()，require_once()这两个函数，与前两个的不同之处在于这两个函数只包含一次，适用于在脚本执行期间同一个文件有可能被包括超过一次的情况下，你想确保它只被包括一次以避免函数重定义，变量重新赋值等问题。
漏洞产生原因
文件包含函数加载的参数没有经过过滤或者严格的定义，可以被用户控制，包含其他恶意文件，导致了执行了非预期的代码。
示例代码
    $filename  = $_GET['filename'];
    include($filename);
?>
例如：
$_GET['filename']参数开发者没有经过严格的过滤，直接带入了include的函数，攻击者可以修改$_GET['filename']的值，执行非预期的操作。
0×02 本地文件包含漏洞
无限制本地文件包含漏洞
测试代码：
    $filename  = $_GET['filename'];
    include($filename);
?>
测试结果：
通过目录遍历漏洞可以获取到系统中其他文件的内容：

常见的敏感信息路径：
Windows系统
c:\boot.ini // 查看系统版本
c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件
c:\windows\repair\sam // 存储Windows系统初次安装的密码
c:\ProgramFiles\mysql\my.ini // MySQL配置
c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码
c:\windows\php.ini // php 配置信息
Linux/Unix系统
/etc/passwd // 账户信息
/etc/shadow // 账户密码文件
/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置
/usr/local/app/php5/lib/php.ini // PHP相关配置
/etc/httpd/conf/httpd.conf // Apache配置文件
/etc/my.conf // mysql 配置文件
session文件包含漏洞
利用条件：
session的存储位置可以获取。
1. 通过phpinfo的信息可以获取到session的存储位置。
通过phpinfo的信息，获取到session.save_path为/var/lib/php/session：

2. 通过猜测默认的session存放位置进行尝试。
如linux下默认存储在/var/lib/php/session目录下：

session中的内容可以被控制，传入恶意代码。
示例：
session_start();
$ctfs=$_GET['ctfs'];
$_SESSION["username"]=$ctfs;
?>
漏洞分析
此php会将获取到的GET型ctfs变量的值存入到session中。
当访问http://www.ctfs-wiki/session.php?ctfs=ctfs 后，会在/var/lib/php/session目录下存储session的值。
session的文件名为sess_+sessionid，sessionid可以通过开发者模式获取。

所以session的文件名为sess_akp79gfiedh13ho11i6f3sm6s6。
到服务器的/var/lib/php/session目录下查看果然存在此文件，内容为：
username|s:4:"ctfs";
[root@c21336db44d2 session]# cat sess_akp79gfiedh13ho11i6f3sm6s6
username|s:4:"ctfs"
漏洞利用
通过上面的分析，可以知道ctfs传入的值会存储到session文件中，如果存在本地文件包含漏洞，就可以通过ctfs写入恶意代码到session文件中，然后通过文件包含漏洞执行此恶意代码getshell。
当访问http://www.ctfs-wiki/session.php?ctfs=后，会在/var/lib/php/session目录下存储session的值。
[root@6da845537b27 session]# cat sess_83317220159fc31cd7023422f64bea1a
username|s:18:" phpinfo();?>";
攻击者通过phpinfo()信息泄露或者猜测能获取到session存放的位置，文件名称通过开发者模式可获取到，然后通过文件包含的漏洞解析恶意代码getshell。

有限制本地文件包含漏洞绕过
%00截断
条件：magic_quotes_gpc = Off php版本
测试代码：
    $filename  = $_GET['filename'];

[1] [2] [3] [4]  下一页

《Web安全实战》系列集合了WEB类常见的各种漏洞，笔者根据自己在Web安全领域中学习和工作的经验，对漏洞原理和漏洞利用面进行了总结分析，致力于漏洞准确性、丰富性，希望对WEB安全工作者、WEB安全学习者能有所帮助，减少获取知识的时间成本。
0×01 文件包含简介
服务器执行PHP文件时，可以通过文件包含函数加载另一个文件中的PHP代码，并且当PHP来执行，这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时，您只更新一个包含文件就可以了，或者当您向网站添加一张新页面时，仅仅需要修改一下菜单文件（而不是更新所有网页中的链接）。
文件包含函数
PHP中文件包含函数有以下四种：
require()
require_once()
include()
include_once()
include和require区别主要是，include在包含的过程中如果出现错误，会抛出一个警告，程序继续正常运行；而require函数出现错误的时候，会直接报错并退出程序的执行。
而include_once()，require_once()这两个函数，与前两个的不同之处在于这两个函数只包含一次，适用于在脚本执行期间同一个文件有可能被包括超过一次的情况下，你想确保它只被包括一次以避免函数重定义，变量重新赋值等问题。

漏洞产生原因
文件包含函数加载的参数没有经过过滤或者严格的定义，可以被用户控制，包含其他恶意文件，导致了执行了非预期的代码。
示例代码
    $filename  = $_GET['filename'];
    include($filename);
?>
例如：
$_GET['filename']参数开发者没有经过严格的过滤，直接带入了include的函数，攻击者可以修改$_GET['filename']的值，执行非预期的操作。
0×02 本地文件包含漏洞
无限制本地文件包含漏洞
测试代码：
    $filename  = $_GET['filename'];
    include($filename);
?>
测试结果：
通过目录遍历漏洞可以获取到系统中其他文件的内容：

常见的敏感信息路径：
Windows系统
c:\boot.ini // 查看系统版本
c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件
c:\windows\repair\sam // 存储Windows系统初次安装的密码

copyright 无奈人生

c:\ProgramFiles\mysql\my.ini // MySQL配置
c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码
c:\windows\php.ini // php 配置信息
Linux/Unix系统
/etc/passwd // 账户信息
/etc/shadow // 账户密码文件
/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置
/usr/local/app/php5/lib/php.ini // PHP相关配置
/etc/httpd/conf/httpd.conf // Apache配置文件
/etc/my.conf // mysql 配置文件
session文件包含漏洞
利用条件：
session的存储位置可以获取。
1. 通过phpinfo的信息可以获取到session的存储位置。
通过phpinfo的信息，获取到session.save_path为/var/lib/php/session：

2. 通过猜测默认的session存放位置进行尝试。
如linux下默认存储在/var/lib/php/session目录下：
内容来自无奈安全网
session中的内容可以被控制，传入恶意代码。
示例：
session_start();
$ctfs=$_GET['ctfs'];
$_SESSION["username"]=$ctfs;
?>
漏洞分析
此php会将获取到的GET型ctfs变量的值存入到session中。
当访问http://www.ctfs-wiki/session.php?ctfs=ctfs 后，会在/var/lib/php/session目录下存储session的值。
session的文件名为sess_+sessionid，sessionid可以通过开发者模式获取。

所以session的文件名为sess_akp79gfiedh13ho11i6f3sm6s6。
到服务器的/var/lib/php/session目录下查看果然存在此文件，内容为：
username|s:4:"ctfs";
[root@c21336db44d2 session]# cat sess_akp79gfiedh13ho11i6f3sm6s6
username|s:4:"ctfs"
漏洞利用
通过上面的分析，可以知道ctfs传入的值会存储到session文件中，如果存在本地文件包含漏洞，就可以通过ctfs写入恶意代码到session文件中，然后通过文件包含漏洞执行此恶意代码getshell。 copyright 无奈人生
当访问http://www.ctfs-wiki/session.php?ctfs=后，会在/var/lib/php/session目录下存储session的值。
[root@6da845537b27 session]# cat sess_83317220159fc31cd7023422f64bea1a
username|s:18:" phpinfo();?>";
攻击者通过phpinfo()信息泄露或者猜测能获取到session存放的位置，文件名称通过开发者模式可获取到，然后通过文件包含的漏洞解析恶意代码getshell。

有限制本地文件包含漏洞绕过
%00截断
条件：magic_quotes_gpc = Off php版本
测试代码：
    $filename  = $_GET['filename'];
本文来自无奈人生安全网

[1] [2] [3] [4]  下一页 www.wnhack.com

。 (责任编辑：admin)