文件包含漏洞

時間 2019-12-18

標籤文件包含漏洞简体版

原文原文鏈接

0X00：前言

web安全之文件包含漏洞，本地包含漏洞和遠程包含漏洞，主要緣由是後端沒有對前端傳來的文件名進行限制，前端用戶能夠隨意修改文件名，本後端執行。php

文件包含函數加載的參數沒有通過過濾或者嚴格的定義，能夠被用戶控制，包含其餘惡意文件，致使了執行了非預期的代碼html

產生背景：開發過程當中，多個文件都會用到的代碼，一般會放到一個單獨的文件中，用到時再包含進來。當把包含的文件寫死在程序中時，該漏洞是不存在的，但不少狀況都會動態的去包含所需的文件，這時候則會產生文件包含漏洞前端

本地包含就是文件名爲本地的一些祕密文件（如/etc/password）mysql

遠程文件包含，是PHP的配置文件allow_url_fopen和allow_url_include設置爲ON，include/require等包含函數能夠加載遠程文件，執行攻擊者服務器上的惡意腳本web

include和require語句相同，除了錯誤處理方法方面：sql

-include 只會生成警告（E_WARNING），而且腳本會繼續apache

-require 會生成致命錯誤（E_COMPILE_ERROR）並中止腳本windows

include_once：和 include 相似，不一樣處在於 include_once 會檢查這個文件是否已經被導入，若是已導入，下文便不會再導入，直面 once 理解就是隻導入一次後端

require_once：和 require 相似，不一樣處在於 require_once 只導入一次安全

0X01：本地文件包含

（1）常見敏感路徑

測試環境pikachu

Windows系統

c:\boot.ini // 查看系統版本

c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件

c:\windows\repair\sam // 存儲Windows系統初次安裝的密碼

c:\ProgramFiles\mysql\my.ini // MySQL配置

c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密碼

c:\windows\php.ini // php 配置信息

Linux/Unix系統

/etc/passwd // 帳戶信息

/etc/shadow // 帳戶密碼文件

/usr/local/app/apache2/conf/httpd.conf // Apache2默認配置文件

/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虛擬網站配置

/usr/local/app/php5/lib/php.ini // PHP相關配置

/etc/httpd/conf/httpd.conf // Apache配置文件

/etc/my.conf // mysql 配置文件

（2）

url：http://127.0.0.1/pikachu-master/vul/fileinclude/fi_local.php?filename=file3.php&submit=%E6%8F%90%E4%BA%A4

發現改變的是filename參數

後端代碼

if(isset($_GET['submit']) && $_GET['filename']!=null){
$filename=$_GET['filename'];
include "include/$filename";//變量傳進來直接包含,沒作任何的安全限制
// //安全的寫法,使用白名單，嚴格指定包含的文件名
// if($filename=='file1.php' || $filename=='file2.php' || $filename=='file3.php' || $filename=='file4.php' || $filename=='file5.php'){
// include "include/$filename";
// }
}

變量傳進來直接包含,沒作任何的安全限制

將filename換成../../../../etc/passwd liunx後臺固定配置文件；../../../../../是目錄跳轉

對應的windows能夠換成其餘文件

小彩蛋file6