文件包含漏洞
为了更好的使用代码的复用性,可以使用文件包含函数将文件包含进来,直接使用文件中的代码。但这就产生了文件包含漏洞,产生原因实在通过 PHP 的函数引入文件时,为了灵活包含文件会将被包含文件设置为变量,通过动态变量来引入需要包含的文件。此时如果用户对变量可控,二服务器端卫队变量进行合理的校验或者校验被绕过,就会导致文件包含漏洞
文件包含所用的函数
| 函数 | 功能 |
|---|
| include() | 代码执行到 include() 函数时将执行文件中的 PHP代码 | | include_once() | 当重复调用同一文件时只调用一次,功能与 include() 相同 | | require() | require() 执行如果发生错误,函数会报错并终止脚本 | | require_once() | 当重复调用同一文件时只调用一次,功能与 require() 相同 |
文件包含漏洞的分类
本地包含
当包含的文件在服务器本地时,就形成了本地文件包含。文件包含可以包含任意文件,被包含的文件可以不是 PHP 代码,可以是文本、图片等。只要文件被包含就会被服务器脚本语言执行,如果包含的文件内容不符合 PHP 语法,会直接将文件内容输出。
示例代码
<?php
$file = $_GET['file'];
include($file);
?>
远程包含
当包含的文件在远程服务器上时,就形成了远程文件包含。所包含远程服务器的文件后缀不能与目标服务器语言相同,远程文件包含需要在 php.ini 中设置:
allow_url_include = on(是否允许 include/require 远程文件)
allow_url_fopen = on(是否允许打开远程文件)
伪协议
PHP 伪协议
PHP 伪协议是 PHP 支持的协议与封装协议,几个 PHP 支持的伪协议如下。
| 伪协议 | 功能 |
|---|
| file:// | 访问本地文件系统 | | http:// | 访问 HTTP(s) 网址 | | php:// | 访问各个输入/输出流 | | phar:// | PHP 归档 | | zip:// | 压缩流 |
例如在 allow_url_include = on 时服务器上有个文件叫 index.php,且存在文件包含漏洞,这个时候就能用 php 伪协议直接把文件显示出来。
?file=php:
php://filter/ 是一种访问本地文件的协议,/read=convert.base64-encode/ 表示读取的方式是 base64 编码后,resource=index.php 表示目标文件为index.php。问什么要进行 base64 编码呢?如果不进行 base64 编码传入,index.php 就会直接执行,我们就看不到文件中的内容了。php 协议还常用 php://input,这可以访问请求的原始数据的只读流,可以读取 POST 请求的参数。
data 伪协议
php 5.2.0 起,数据流封装器开始有效,主要用于数据流的读取,如果传入的数据是PHP代码就会执行代码。使用方法为:
data:
|