文件包含漏洞原理刨析

news2024/11/28 1:41:15

文件包含漏洞

开发人员通常会把可重复使用的函数写到单个文件中，在使用某些函数时，直接调用此文件，而无需再次编写，这种调用文件的过程一般被称为包含。

为了使代码更加灵活，通常会将被包含的文件设置为变量，用来进行动态调用，但正是由于这种灵活性，从而导致客户端可以调用一个恶意文件，造成文件包含漏洞。

1. 包含漏洞原理解析

大多数Web语言都支持文件包含操作，其中PHP语言所提供的文件包含功能太强大、太灵活，也就导致文件包含漏洞经常出现在PHP语言中。这里就以PHP语言为例。

PHP中提供了四个文件包含的函数：

include( )
当使用该函数包含文件时，只有代码执行到 include()函数时才将文件包含进来，发生错误时只给出一个警告，继续向下执行
include_once( )
功能与 Include()相同，区别在于当重复调用同一文件时，程序只调用一次
require( )
require()与 include()的区别在于 require()执行如果发生错误，函数会输出错误信息，并终止脚本的运行。
require_once( )
功能与 require()相同，区别在于当重复调用同一文件时，程序只调用一次。

2. 文件包含分类

2.1 本地文件包含

当包含的文件在服务器本地时，就形成了本地文件包含。

做个简单的测试：

index.php：这里用GET获取文件名

<?php    $file = $_GET\['file'\];    if(isset($file)){        include("$file");
    }else{        echo "file fail!";
    }?>

include.php ：被包含的文件。实际上被包含文件可以是任意格式的，即便与当前编程语言无关，甚至可以是图片，只要文件被包含，其内容会被包含文件包含，并以当前服务器脚本语言执行。

<??>

运行结果展示：

这时，如果被包含的文件内容不符合php语言规范的，会直接将文件内容（源代码）输出，如：

2.2 远程文件包含

要使用远程文件包含功能，首先要确定PHP是否开启远程文件包含功能选项（默认为关闭），需要再php.ini配置文件中修改，修改后重启Web容器服务使其生效，修改内容：

//把off更改为on

下面是PHP远程文件包含的例子：

index.php页面的代码不变，我们在虚拟机创建被包含文件，文件内容：

访问URL：http://192.168.3.134/814/123.txt（这里我们知道虚拟机的ip，换掉127.0.0.1），包含成功

3. 文件包含利用

3.1 读取敏感文件

常见的敏感信息路径：

Windows系统

c:\boot.ini // 查看系统版本

c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件

c:\windows\repair\sam // 存储Windows系统初次安装的密码

c:\ProgramFiles\mysql\my.ini // MySQL配置

c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码

c:\windows\php.ini // php 配置信息

Linux/Unix系统

/etc/passwd // 账户信息

/etc/shadow // 账户密码文件

/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件

/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置

/usr/local/app/php5/lib/php.ini // PHP相关配置

/etc/httpd/conf/httpd.conf // Apache配置文件

/etc/my.conf // mysql 配置文件