其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。文件包含漏洞可能出现在JSP、PHP、 ASP等语言中,原理都是一样的,本文只介绍PHP文件包含漏洞。
要想成功利用文件包含漏洞进行攻击,需要满足以下两个条件:
1. Web应用采用include()等文件包含函数通过动态变量的方式引入需要包含的文件 (文件包含函数还有 include_once()、require()、require_once())
2. 用户能够控制该动态变量
现在来看一段简单的文件包含代码:
1
2
3
|
<?php $filename
= $_GET [ ‘filename‘ ];
include ( $filename );
|
通过上面的代码可以看到,在得到变量$filename的值后没有经过任何处理,直接带入include()函数中。此处就存在一个文件包含漏洞,利用该漏洞我们可以查看系统中的任意文件。
下面我们来实际测试一下。首先将该PHP页面上传到Web服务器,先让其包含一个正常的txt文件,运行结果如下图2所示。
图2
接着我们在该txt文本中插入php代码,看结果如何?这里给其插入如下图3所示代码。
图3
再次访问,结果如下图4所示。
图4
通过上图我们可以看到文本中的PHP代码被成功执行了。
利用该漏洞,我们可以查看系统中的任意文件,比如经常用到的“/etc/passwd”文件,如图5所示。
图5
PHP文件包含漏洞分为
一、本地文件包含漏洞(LFI):能够打开并包含本地文件的漏洞,被称为本地文件包含漏洞。利用本地文件包含漏洞,可以查看系统任意文件内容,如果具备一些条件,也可以执行命令。在下面的漏洞利用技巧部分对这个有详细介绍。
二、远程文件包含漏洞(RFI):如 果php.ini的配置选项allow_url_fopen和allow_url_include为ON的话,则文件包含函数是可以加载远程文件的,这种 漏洞被称为远程文件包含漏洞。利用远程文件包含漏洞,可以直接执行任意命令。在实际渗透攻击过程中,攻击者可以在自己的Web服务器上放一个可执行的恶意 文件,通过目标网站存在的远程文件包含漏洞来加载文件,从而实现执行任意命令的目的。
文件包含漏洞利用技巧
远程文件包含漏洞之所以能够执行命令,就是因为攻击者可以自定义被包含的文件内容。因此,本地文件包含漏洞要想执行命令,也需要找一个攻击者能够控制内容的本地文件。
目前主要有几下几种常见的技巧:
包含用户上传的文件。这个很好理解,也是最简单的一种办法。如果用户上传的文件内容中包含PHP代码,那么这些代码被文件包含函数加载后将会被执行。但能否攻击成功,取决于上传功能的设计,比如需要知道上传文件存放的物理路径,还需要上传的文件有执行权限。
包含data://或php://input等伪协议。这需要目标服务器支持,同时要求allow_url_fopen为设置为ON。在PHP5.2.0之后的版本中支持data:伪协议,可以很方便地执行代码。
包含Session文件。这部分需要攻击者能够控制部分Session文件的内容,PHP默认生成的Session文件一般存放在/tmp目录下。
包 含日志文件。比如Web服务器的访问日志文件,这是一种通用的技巧。因为几乎所有网站都会将用户的访问记录到访问日志中。因此,攻击者可以向Web日志中 插入PHP代码,通过文件包含漏洞来执行包含在Web日志中的PHP代码,下面的案例中就是利用该技巧成功获取到目标网站的WebShell的。但需要注 意的是,如果网站访问量大的话,日志文件可能会非常大,这时如果包含一个这么大的文件时,PHP进程可能会卡死。一般网站通常会每天生成一个新的日志文 件,因此在凌晨时进行攻击相对来说容易成功。
包含/proc/self/environ文件。这个也是一种通用的技巧,因为它根本不需要猜测被包含文件的路径,同时用户也能控制它的内容,常见的做法是向User-Agent中注入PHP代码来完成攻击。
PHP文件包含漏洞防范
本部分主要从代码层和Web服务器安全配置两个方面来讲解PHP文件包含 漏洞的防范。首先来从代码层来讲,在开发过程中应该尽量避免动态的变量,尤其是用户可以控制的变量。一种保险的做法是采用“白名单”的方式将允许包含的文 件列出来,只允许包含白名单中的文件,这样就可以避免任意文件包含的风险,可参考下面图10所示的代码实现。
图10
还有一种做法是将文件包含漏洞利用过程中的一些特殊字符定义在黑名单中,对传入的参数进行过滤,但这样有时会因为过滤不全,导致被有经验的攻击者绕过。
在 Web服务器安全配置方面可以通过设定php.ini中open_basedir的值将允许包含的文件限定在某一特定目录内,这样可以有效避免利用文件包 含漏洞进行的攻击。需要注意的是,open_basedir的值是目录的前缀,因此假设设置如下值:open_basedir=/var/www /test,那么实际上以下目录都是在允许范围内的。
/var/www/test
/var/www/test123
/var/www/testabc
如果要限定一个指定的目录,需要在最后加上“/”,这一点需要特别注意。
open_basedir=/var/www/test/
如果有多个目录,在Windows下目录间用分号隔开,在Linux下面则用冒号隔开。
文章转自:http://www.rising.com.cn/newsletter/news/2013-04-25/13587.html