文件包含

含义

本质是输入一段用户能够控制的脚本或者代码，并让服务端执行。

以PHP为例，常用的文件包含

include(),require(),include_once(),require_once()

区别

*require():*找不到被包含的文件会产生致命警告，并停止脚本运行
*include():*找不到被包含的文件只会产生警告，脚本继续运行
*require_once()与require()类似:*唯一的区别就是如果该文件的代码已经被包含，则不会执行
*include_once()与include()类似:*唯一的区别就是如果该文件的代码已经被包含，则不会执行

分析

一个简单的例子，我们利用phpstudy,在网站根目录创建两个文件：

首先是include.php

1
2
3

<?php
	include $_GET['test'];
?>

接着是phpinfo.php

1
2
3

<?php
	phpinfo();
?>

成功解析

将phpinfo.php文件后缀改为txt后进行访问，依然可以解析:

将phpinfo.php文件后缀改为jpg格式，也可以解析:

可以看出，include()函数并不在意被包含的文件是什么类型，只要有php代码，都会被解析出来。

上传了一jpg格式的一句话木马，如果网站有文件包含漏洞，jpg文件就可以被当做php文件解析，所以这就是文件上传漏洞通常配合文件上传使用。

本地文件包含漏洞(LFI)

能够打开并包含本地文件的漏洞，我们称为本地文件包含漏洞(LFI)

同时也可以利用该代码，读取一些本地系统的敏感信息

例如：C:\Windows\system.ini

使用绝地路径直接读取:

localhost/include.php?filename=C:\Windows\system.ini

使用相对路径进行读取:

./ 表示当前路径

../ 表示上一级路径位置

例如当前页面所在路径为C:\Apache24\htdocs\，我们需要使用../退到C盘再进行访问，构造路径如下：
../../windows/system.ini

Windows系统:

C:\boot.ini //查看系统版本
C:\windows\system32\inetsrv\MetaBase.xml //IIS配置文件
C:\windows\repair\sam //存储Windows系统初次安装的密码
C:\ProgramFiles\mysql\my.ini //Mysql配置
C:\ProgramFiles\mysql\data\mysql\user.MYD //MySQL root密码
C:\windows\php.ini //php配置信息

Linux/Unix系统:

/etc/password //账户信息
/etc/shadow //账户密码信息
/usr/local/app/apache2/conf/httpd.conf //Apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhost.conf //虚拟网站配置
/usr/local/app/php5/lib/php.ini //PHP相关配置
/etc/httpd/conf/httpd.conf //Apache配置文件
/etc/my.conf //mysql配置文件

LFI漏洞利用技巧

配合文件上传使用

有时候我们找不到文件上传漏洞，无法上传webshell，可以先上传一个图片格式的webshell到服务器，再利用本地文件包含漏洞进行解析。

例题：DVWA File Upload

源码：

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}

?>

简单介绍一下解题思路：

可以看到，服务器对上传文件的类型、内容没有做任何的检查、过滤，存在明显的文件上传漏洞，生成上传路径后，服务器会检查是否上传成功并返回相应提示信息。

上传一句话木马，并通过蚁剑进行连接爆破目录：

包含Apache日志文件

利用条件:

对日志文件可读
知道日志文件存储目录

注意:

一般情况下日志存储目录会被修改，需要读取服务器配置文件(httpd.conf,nginx,conf,……)或者根据phpinfo()中的信息来得知
日志记录的信息都可以被调整，比如记录报错的等级，或者内容格式

在用户发起请求时，服务器会将请求写入access.log，当发生错误时将错误写入error.log，日志文件如下:

正常访问网页时，access日志会进行记录，如下图记录所示：

包含session文件

可以先根据尝试包含到SESSION文件，在根据文件内容寻找可控变量，在构造payload插入到文件中，最后包含即可。

利用条件:

找到Session内的可控变量
Session文件可读写，并且知道存储路径

php的session文件的保存路径可以在phpinfo的session.save_path看到。

session常见存储路径:

/var/lib/php/sess_PHPSESSID
/var/lib/php/sess_PHPSESSID
/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID
session文件格式:sess_[phpsessid],而phpsessid在发送的请求的cookie字段中可以看到。

包含临时文件

php中上传文件，会创建临时文件。在linux下使用/tmp目录，而在windows下使用C:\windows\temp目录。在临时文件被删除前，可以利用时间竞争的方式包含该临时文件。

由于包含需要知道包含的文件名。一种方法是进行暴力猜解，linux下使用的是随机函数有缺陷，而windows下只有65535种不同的文件名，所以这个方法是可行的。

另一种方法是配合phpinfo页面的php variables，可以直接获取到上传文件的存储路径和临时文件名，直接包含即可。

远程文件包含(RFI)

如果PHP的配置选项allow_url_include、allow_url_fopen状态为ON的话，则include/require函数是可以加载远程文件的，这种漏洞被称为远程文件包含(RFI)

首先我们来看一段代码include.php

<?php
	$path=$_GET['path'];
	include($path . '/phpinfo.php');
?>

127.0.0.1/include.php/path=site访问本地site目录下的phpinfo.php文件:

该页面并没有对$path做任何过滤，因此存在文件包含漏洞。

我们在远端Web服务器/site/目录下创建一个test.php文件，内容为phpinfo()，利用漏洞去读取这个文件。

但是代码会给我们输入的路径后面加上’/phpinfo.php’后缀，如果php版本小于5.3.4，我们可以尝试使用%00截断，这里php版本为7.3.4，不适用。

还有一种截断方法就是?号截断，在路径后面输入?号，服务器会认为?号后面的内容为GET方法传递的参数，成功读取test.php如下：

如果test.php是恶意的webshell文件，那么利用该漏洞就可以获取到服务器权限。

PHP伪协议

PHP内置了很多URL风格的封装协议，可用于类似fopen()、copy()、file_exists()和filesize()的文件系统函数

如下所示

1.file://协议

file:// 用于访问本地文件系统，在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响

file:// [文件的绝对路径和文件名]

2.php://协议

php:// 访问各个输入/输出流（I/O streams），在CTF中经常使用的是php://filter和php://input
php://filter用于读取源码。
php://input用于执行php代码。

php://filter 读取源代码并进行base64编码输出，不然会直接当做php代码执行就看不到源代码内容了。
利用条件:

allow_url_fopen ：off/on
allow_url_include：off/on

例如有一些敏感信息会保存在php文件中，如果我们直接利用文件包含去打开一个php文件，php代码是不会显示在页面上的，例如打开当前目录下的2.php:

他只显示了一条语句，这时候我们可以以base64编码的方式读取指定文件的源码:

输入
php://filter/convert.base64-encode/resource=文件路径
得到2.php加密后的源码：

再进行base64解码，获取到2.php的完整源码信息：

php://input 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。当传入的参数作为文件名打开时，可以将参数设为php://input,同时post想设置的文件内容，php执行时会将post内容当作文件内容。从而导致任意代码执行。
利用条件:

allow_url_fopen ：off/on
allow_url_include：on

利用该方法，我们可以直接写入php文件，输入file=php://input，然后使用burp抓包，写入php代码：

发送报文，可以看到本地生成了一句话木马：

3.ZIP://协议

zip:// 可以访问压缩包里面的文件。当它与包含函数结合时，zip://流会被当作php文件执行。从而实现任意代码执行。

zip://中只能传入绝对路径。
要用#分割压缩包和压缩包里的内容，并且#要用url编码成%23(即下述POC中#要用%23替换）
只需要是zip的压缩包即可，后缀名可以任意更改。
相同的类型还有zlib://和bzip2://

利用条件:

allow_url_fopen ：off/on
allow_url_include：off/on

POC为：

1	zip://[压缩包绝对路径]#[压缩包内文件]?file=zip://D:\1.zip%23phpinfo.txt

4.data://协议

data:// 同样类似与php://input，可以让用户来控制输入流，当它与包含函数结合时，用户输入的data://流会被当作php文件执行。从而导致任意代码执行。

利用data:// 伪协议可以直接达到执行php代码的效果，例如执行phpinfo()函数：
利用条件:

allow_url_fopen ：on
allow_url_include：on

POC为:

1
2
3

data://text/plain,<?php phpinfo();?>
//如果此处对特殊字符进行了过滤，我们还可以通过base64编码后再输入：
data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

5.伪协议利用条件

伪协议的利用方法还有很多，这里就不一一举例了。
伪协议的用法小结

文件包含漏洞防护

1、使用str_replace等方法过滤掉危险字符

2、配置open_basedir，防止目录遍历（open_basedir 将php所能打开的文件限制在指定的目录树中）

3、php版本升级，防止%00截断

4、对上传的文件进行重命名，防止被读取

5、对于动态包含的文件可以设置一个白名单，不读取非白名单的文件。

6、做好管理员权限划分，做好文件的权限管理，allow_url_include和allow_url_fopen最小权限化