DVWA-File inclusion（文件包含漏洞）

File Inclusion，文件包含（漏洞），是指当服务器开启allow_url_include选项时，就可以通过php的某些特性函数（include()，require()和include_once()，require_once()）利用url去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。

PHP中包含文件函数介绍：

Include()：当使用该函数包含文件时，只有代码执行到 include()函数时才将文件包含进来，发生错误时之给出一个警告，继续向下执行。

Include_once()：功能与include相同，但当重复调用一个文件时，程序只调用一次。

Require()：是php的内置函数，作用是引入或者包含外部php文件，当本身php文件被执行时，则外部文件的内容就将被包含进该自身php文件中；当包含的外部文件发生错误时，系统将抛出错误提示，并且停止php文件的执行。

Require_once():：功能与require相同，但当重复调用一个文件时，程序只调用一次。

 

--low 级别：

 服务器端代码：

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

?>

当前服务器端直接读取page参数，并没有做其他限制。

 正常操作信息如下：

也就是说，当传递正确的文件路径且该文件由读取权限时，能在页面上查看到该文件的内容。

先试一下./file2.php是不是也能访问文件信息，如果可以说明可以通过../进行查看其他目录下的文件内容。

 查看/etc/passwd的内容：../../../../../../etc/passwd

 

--medium级别：

服务器端代码：

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );

?>

在服务器接收到page参数后，通过str_replace函数将：http://、https://、../、..\字符替换为空。

通过传递：../../../../../../etc/passwd  看看是不是已经没用了

 因为现在../已经被服务器替换为空了，那就重新构造一个替换后，重新组合成的路径：....//....//....//....//....//....//etc/passwd

 说明单独的替换并不能有效的防止这种文件包含的漏洞。

--high 级别：

服务器端代码：

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?>

看一下fnmatch() 函数的说明，根据指定的模式来匹配文件名或字符串。也就是说page中的参数格式必须是以file开头后面拼接任意内容的形式，才能进行读取。

试一下page=../../../../../../etc/passwd，看看是否已经被拦截掉了。

 再试一下page=....//....//....//....//....//....//etc/passwd 看看结果如何？

 

虽然之前构造的page参数已经无效了，但是，从上面服务器端的代码中可以看出page参数必须以file开始，那么试一下通过file的形式进行访问。

page=file:///../../../../../../etc/passwd

 最终通过file:/// 的形式访问，还是能访问到其他文件信息。

--impossible 级别：

服务器端代码：

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Only allow include.php or file{1..3}.php
if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?>

在impossible中的方式加了更严的限制，就直接限制只能读取：include.php、file1.php、file2.php、file3.php。