系统环境

因为网上关于dvwa的相关资料都比较旧，所以想重新过一边dvwa的各个类型的漏洞，顺带初步入门php代码审计相关的知识。环境安装可以直接参照网上教程新手指南：手把手教你如何搭建自己的渗透测试环境，已经写的非常详细，可以直接按照教程一步步安装。

简介

File Inclusion
File Inclusion，意思是文件包含（漏洞），是指当服务器开启allow_url_include选项时，就可以通过php的某些特性函数（include()，require()和include_once()，require_once()）利用url去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞，远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项（选项开启之后，服务器允许包含一个远程的文件）。

image.png

接下来我们对四个级别的代码进行分析。

Low服务器端核心代码

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

?> 

可以看到，服务端对page参数没有做任何检查跟过滤。服务器预期的是用户点击上面的三个php文件，服务器会包含相应的文件，并将结果返回。需要说明的是，服务器包含文件时，不管文件后缀名是否是php时，都会尝试当做php文件执行，如果文件内容确为php，则会正常执行并返回结果，如果不是，则会原封不动的打印文件内容，所以文件包含漏洞常常会导致任意文件读取和任意命令执行。
点击file1.php后，返回如下：

image.png

然后因为page参数用户可控，所以会造成一系列的问题。
漏洞利用
因为page参数可控，可以尝试读取本地文件

image.png
在php版本小于5.3.4的服务器中，当Magic_quote_gpc选项为off时，我们可以在文件名中使用%00进行截断，也就是说文件名中%00后的内容不会被识别，即下面两个url是完全等效的。

A)http://localhost/DVWA-master/vulnerabilities/fi/?page=/etc/passwd

B)http://localhost/DVWA-master/vulnerabilities/fi/?page=/etc/passwd%00.php

使用%00截断可以绕过某些过滤规则，例如要求page参数的后缀必须为php，这时链接A会读取失败，而链接B可以绕过规则成功读取。
远程文件包含
当服务器的php配置中，选项allow_url_fopen与allow_url_include为开启状态时，服务器会允许包含远程服务器上的文件，如果对文件来源没有检查的话，就容易导致任意远程代码执行。在远程服务器192.168.5.12上传一个phpinfo.txt文件，内容如下

image.png
image.png
image.png

Medium服务端核心代码

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );

?> 

可以看到在low的基础上将“https://” “http://" "../", ".." 替换为空字符
漏洞利用
使用str_replace函数是及其不安全的，因为可以使用双写绕过替换规则。例如page=hthttptp://localhost/php.txt时
str_replace函数会将http://删除，于是page=http://localhost/php.txt。成功执行远程命令。同时，因为替换的只是“../”、“..\”，所以对采用绝对路径的方式包含文件是不会受到任何限制的。
远程文件包含

image.png
本地文件包含
image.png

High服务端核心代码

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?> 

可以看到，High级别的代码使用了fnmatch函数检查page参数，要求page参数的开头必须是file，服务器才会去包含相应的文件。然而file协议，我们比较熟悉的是，当我们用浏览器打开本地的文件时，用的就是file协议。
漏洞利用
成功读取我们想要的文件

image.png

至于执行任意命令，需要配合文件上传漏洞利用。首先需要上传一个内容为php的文件，然后再利用file协议去包含上传文件（需要知道上传文件的绝对路径），从而实现任意命令执行。

Impossible服务端核心代码

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Only allow include.php or file{1..3}.php
if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?> 

可以看到impossible级别的代码采用了白名单模式，参数只接收page参数必须是“include.php”、“file1.php”、“file2.php”、“file3.php”之一，彻底杜绝了文件包含漏洞。

参考文档