文件包含漏洞原理利用方式及修复

web安全

更新于 2月25日 约 8 分钟

注:本文仅供学习参考

文件包含定义: 服务器执行PHP文件时，可以通过文件包含函数加载另一个文件中的PHP代码，并且当PHP来执行，这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时，您只更新一个包含文件就可以了，或者当您向网站添加一张新页面时，仅仅需要修改一下菜单文件（而不是更新所有网页中的链接）。造成方便的同时,也留下了隐患。

文件包含常用函数:

require()#函数出现错误的时候，会直接报错并退出程序的执行
require_once()#只包含一次
include()#在包含的过程中如果出现错误，会抛出一个警告，程序继续正常运行
include_once()#只包含一次

原理: 在进行文件包含的时候,没有对参数进行严格的过滤

<?php 
  $filename = $_GET['filename'];
  include($filename);
?>
如上述例子 在引用filename函数时,没有过滤，直接引用了这个函数

文件包含分类: 本地包含:可以进行一些本地的文件读取 远程包含:可以对外网上的文件进行读取

实战: 留意url，这里我想包含当前目录的1.txt(内容为phpinfo())，发现成功执行php语句

同理读取其他文件可使用../../返回上级目录,就比如我相关读取D盘下的2.txt

思路

有时候当我们发现了一个本地的文件包含漏洞，但我们也仅仅只能去读取一些本地的文件，没有办法去进行更深层次的利用，然后又在这个网站上发现了一个文件上传漏洞，同时这个文件上传漏洞如果单个来看是比较鸡肋的，比如它做了限制，只能发送图片，而这个图片却没有做严格的限制，我们可以通过一些图片木马来绕过上传，而这两个漏洞结合一下的话，就能达到很大效果了 比如我们上传了一个图片木马，没法单独去使用，但我们可以使用文件包含漏洞，去对这个文件进行包含，也就是说两个文件互相结合进行利用

这里提供一个思路getshell:就比如想getshell但又没有上传点,怎么办呢，我们可以把一句话包含进apache日志里(日志位置可以猜测一下),进行getshell。下面来看看实战。

日志位置于../../../../apache/logs/access.log 直接写一句话(注意浏览器会编码，通过burp请求)

这时打开菜刀尝试连接 成功getshell

ps:%00截断 条件：magic_quotes_gpc = Off php版本<5.3.4 比如这种

<?php 
  $filename = $_GET['filename'];
  include($filename . ".html");
?>

远程文件包含: PHP的配置文件allow_url_fopen和allow_url_include设置为ON，include/require等包含函数可以加载远程文件，如果远程文件没经过严格的过滤，导致了执行恶意文件的代码，这就是远程文件包含漏洞。

条件

allow_url_fopen = On（是否允许打开远程文件）
allow_url_include = On（是否允许include/require远程文件）

了解php伪协议: php伪协议本来是方便使用的,但如果存在包含漏洞,攻击者可以充分利用读取或写入一些文件 这里介绍几个常用的

php://filter（本地磁盘文件进行读取）
php://input
file://伪协议 （读取文件内容）

php://filter用法 ?php://filter/convert.base64-encode/resource=xxx.php 通过Base64解密后

成功读取

file://伪协议 （读取文件内容） 通过file协议可以访问本地文件系统，读取到文件的内容 这里读取我D盘下的2.txt 2.txt的内容为phpinfo();

php://input 可以访问请求的原始数据的只读流。即可以直接读取到POST上没有经过解析的原始数据。enctype=”multipart/form-data” 的时候 php://input 是无效的。 用法：?file=php://input 数据利用POST传过去。

php://input（写入木马） 条件：php配置文件中需同时开启 allow_url_fopen 和 allow_url_include（PHP < 5.3.0）,(不开启会报错)就可以造成任意代码执行，在这可以理解成远程文件包含漏洞（RFI），即POST过去PHP代码，即可执行。 如果POST的数据是执行写入一句话木马的PHP代码，就会在当前目录下写入一个木马。

php://input(读取post数据) 碰到file_get_contents()就要想到用php://input绕过，因为php伪协议也是可以利用http协议的，即可以使用POST方式传数据，具体函数意义下一项

php://input（命令执行） 条件：php配置文件中需同时开启 allow_url_fopen 和 allow_url_include（PHP < 5.30）,就可以造成任意代码执行，在这可以理解成远程文件包含漏洞（RFI），即POST过去PHP代码，即可执行

修复方式

过滤../ ./
配置php.ini文件
都关闭allow_url_fopen 和 allow_url_include
设置白名单

还有很多协议如data phar zip等等等等 有兴趣的伙伴可以去研究一下