靶機(jī)文件包含漏洞與審計(jì)項(xiàng)目13Web安全漏洞及代碼審計(jì)（第2版）（微課版）01項(xiàng)目知識(shí)準(zhǔn)備項(xiàng)目知識(shí)準(zhǔn)備01文件包含漏洞產(chǎn)生的原因是在通過PHP函數(shù)引入文件時(shí)，用戶可以控制引入文件的文件名，使得引入的文件沒有經(jīng)過校驗(yàn)或者校驗(yàn)被繞過，從而讓用戶操作了預(yù)想之外的文件，這就可能導(dǎo)致意外的文件泄露甚至惡意的代碼注入。當(dāng)被包含的文件在本地服務(wù)器中時(shí)，就形成了本地文件包含漏洞。當(dāng)被包含的文件在第三方服務(wù)器中時(shí)，就形成了遠(yuǎn)程文件包含漏洞。漏洞介紹一漏洞危害二文件包含漏洞看似影響有限，但是一旦被惡意利用，就會(huì)帶來很大的危害。攻擊者利用文件包含漏洞不僅可以讀取Web應(yīng)用程序的一些配置信息，還可以讀取操作系統(tǒng)的敏感信息。若攻擊者在PHP5.2之前的版本中開啟了allow_url_include，則可以寫入文件、執(zhí)行系統(tǒng)命令甚至控制服務(wù)器。項(xiàng)目知識(shí)準(zhǔn)備01文件包含漏洞通常出現(xiàn)在模塊加載、cache調(diào)用的位置，文件包含類函數(shù)有include()、include_once()、require()、require_once()，所以在審計(jì)文件包含漏洞時(shí)，可以直接定位此類函數(shù)，向上追蹤參數(shù)是否可控。審計(jì)思路三項(xiàng)目知識(shí)準(zhǔn)備01（1）%00截?cái)啵喝糁付ò募暮缶Y，則可以通過此方式實(shí)現(xiàn)截?cái)?。受GPC和addslashes()函數(shù)的影響，在PHP5.3之后的版本中修復(fù)了%00截?cái)鄦栴}。（2）利用?偽截?cái)啵捍私財(cái)喾绞讲皇蹽PC和PHP版本的限制。其原理是WebServer將問號(hào)后面的數(shù)據(jù)當(dāng)作參數(shù)，從而實(shí)現(xiàn)截?cái)唷＃?）多個(gè).和多個(gè)/截?cái)啵涸赑HP5.3之前的版本中，可以利用多個(gè).和多個(gè)/進(jìn)行截?cái)?，且不受GPC的限制。據(jù)統(tǒng)計(jì)，在Windows平臺(tái)的工作環(huán)境中有240個(gè).可以截?cái)?，或?40個(gè)./可以截?cái)?，在Linux平臺(tái)的工作環(huán)境中則有2048個(gè)。（4）偽協(xié)議：可以通過偽協(xié)議利用文件包含漏洞。偽協(xié)議如表13-1所示。漏洞利用四02任務(wù)1文件包含漏洞分析任務(wù)1文件包含漏洞分析02能夠進(jìn)行文件包含漏洞的分析了解《互聯(lián)網(wǎng)用戶賬號(hào)信息管理規(guī)定》。任務(wù)目標(biāo)一任務(wù)實(shí)施二文件包含類函數(shù)的功能如下所述。include()：只有在代碼執(zhí)行到此函數(shù)時(shí)，才將文件包含進(jìn)來。當(dāng)發(fā)生錯(cuò)誤時(shí)，只發(fā)出警告并繼續(xù)執(zhí)行。include_once()：功能和include()函數(shù)的一樣，區(qū)別在于當(dāng)重復(fù)調(diào)用同一文件時(shí)，程序只調(diào)用一次。require()：只要程序執(zhí)行，就立即調(diào)用此函數(shù)來包含文件。當(dāng)發(fā)生錯(cuò)誤時(shí)，會(huì)輸出錯(cuò)誤信息并立即終止程序。require_once()：功能和require()函數(shù)的一樣，區(qū)別在于當(dāng)重復(fù)調(diào)用同一文件時(shí)，程序只調(diào)用一次。任務(wù)1文件包含漏洞分析02本地文件包含（LocalFileInclude，LFI）允許攻擊者通過瀏覽器包含本地主機(jī)中的文件。Web應(yīng)用程序在沒有正確過濾輸入數(shù)據(jù)的情況下，就可能存在本地文件包含漏洞。測試代碼如下。在根目錄中保存包含<?phpphpinfo();?>的文本，并將其命名為1.txt。當(dāng)請(qǐng)求/LFI.php?page=1.txt時(shí)，就會(huì)包含此文件并對(duì)其進(jìn)行解析，執(zhí)行結(jié)果如圖13-1所示。任務(wù)實(shí)施二1．本地文件包含任務(wù)1文件包含漏洞分析02利用本地文件包含漏洞也可以讀取本地系統(tǒng)文件。以讀取C://Windows/win.ini文件為例，結(jié)果如圖13-2所示。任務(wù)實(shí)施二1．本地文件包含任務(wù)1文件包含漏洞分析02遠(yuǎn)程文件包含（RemoteFileInclude，RFI）允許攻擊者包含遠(yuǎn)程文件。遠(yuǎn)程文件包含的前提是設(shè)置allow_url_include=on。與本地文件包含相比，遠(yuǎn)程文件包含更容易被利用，但是遠(yuǎn)程文件包含出現(xiàn)的頻率沒有本地文件包含出現(xiàn)的頻率高。在php.ini文件中設(shè)置allow_url_include=on，如圖13-3所示。仍然在上述測試代碼中進(jìn)行測試，通過php://input偽協(xié)議執(zhí)行系統(tǒng)命令，測試結(jié)果如圖13-4所示。任務(wù)實(shí)施二2．遠(yuǎn)程文件包含03任務(wù)2文件包含漏洞代碼審計(jì)任務(wù)2文件包含漏洞代碼審計(jì)03能夠進(jìn)行文件包含漏洞的代碼審計(jì)了解《互聯(lián)網(wǎng)信息服務(wù)管理辦法》。任務(wù)目標(biāo)一任務(wù)實(shí)施二1．環(huán)境搭建本任務(wù)使用BlueCMS1.6和PHP5.2，在部署好源代碼后，進(jìn)入程序安裝界面，如圖13-5所示。任務(wù)2文件包含漏洞代碼審計(jì)031．環(huán)境搭建任務(wù)實(shí)施二勾選“我已經(jīng)閱讀并同意此協(xié)議”復(fù)選框，單擊“繼續(xù)”按鈕，進(jìn)入“環(huán)境檢測”界面，如圖13-6所示。在此檢測環(huán)境信息，判斷是否滿足環(huán)境要求。在環(huán)境檢測通過后，單擊“繼續(xù)”按鈕，進(jìn)入“參數(shù)配置”界面，填寫關(guān)于數(shù)據(jù)庫的配置信息及預(yù)創(chuàng)建的管理員賬號(hào)等，如圖13-7所示。在信息填寫完成后，單擊“下一步”按鈕，即可開始安裝。任務(wù)2文件包含漏洞代碼審計(jì)032．漏洞分析任務(wù)實(shí)施二漏洞觸發(fā)點(diǎn)在/user.php文件的函數(shù)中，其中include()函數(shù)包含的文件是可控的，如果$_POST['pay']不為空，就會(huì)被拼接到要包含傳入的文件中，導(dǎo)致文件包含漏洞。代碼如下：任務(wù)2文件包含漏洞代碼審計(jì)033．漏洞利用任務(wù)實(shí)施二首先注冊(cè)一個(gè)賬戶，然后進(jìn)入“會(huì)員中心”→“充值中心”界面，如圖13-8所示。選擇“充值中心”→“金幣充值”選項(xiàng)，在右側(cè)界面中單擊“購買”按鈕，在獲取數(shù)據(jù)包后，通過多個(gè).的方式來截?cái)?，結(jié)果如圖13-9所示，可以包含robots