文件包含漏洞#
为了更好地使用代码的重用性,可以使用文件包含函数将文件包含进来,直接使用文件中的代码来提高重用性。但是这也产生了文件包含漏洞,产生原因是在通过 PHP 的函数引入文件时,为了灵活包含文件会将被包含文件设置为变量,通过动态变量来引入需要包含的文件。此时用户可以对变量的值可控,而服务器端未对变量值进行合理地校验或者校验被绕过,就会导致文件包含漏洞。
文件包含函数#
| 函数 | 功能 |
|---|---|
| include() | 代码执行到 include() 函数时将文件包含 |
| include_once() | 当重复调用同一文件时只调用一次,功能与 include() 相同 |
| require() | require() 执行如果发生错误,函数会报错并终止脚本 |
| require_once() | 当重复调用同一文件时只调用一次,功能与 require() 相同 |
包含漏洞分类#
本地包含#
当包含的文件在服务器本地时,就形成了本地文件包含。文件包含可以包含任意文件,被包含的文件可以不是 PHP 代码,可以是文本或图片等。只要文件被包含就会被服务器脚本语言执行,如果包含的文件内容不符合 php 语法,会直接将文件内容输出。例如下面这段简易的代码:
<?php
$file = $_GET['file'];
include($file);
?>
远程包含#
当包含的文件在远程服务器上时,就形成了远程文件包含。所包含远程服务器的文件后缀不能与目标服务器语言相同,远程文件包含需要在 php.ini 中设置:
allow_url_include = on(是否允许 include/require 远程文件)
allow_url_fopen = on(是否允许打开远程文件)
伪协议#
PHP 伪协议#
PHP 伪协议是 PHP 支持的协议与封装协议,几个 PHP 支持的伪协议如下。
| 伪协议 | 功能 |
|---|---|
| file:// | 访问本地文件系统 |
| http:// | 访问 HTTP(s) 网址 |
| php:// | 访问各个输入/输出流 |
| phar:// | PHP 归档 |
| zip:// | 压缩流 |
例如在 allow_url_include = on 时服务器上有个文件叫 index.php,且存在文件包含漏洞,这个时候就能用 php 伪协议直接把文件显示出来。
?file=php://filter/read=convert.base64-encode/resource=index.php
稍微解释下这个做法,php://filter/ 是一种访问本地文件的协议,/read=convert.base64-encode/ 表示读取的方式是 base64 编码后,resource=index.php 表示目标文件为index.php。问什么要进行 base64 编码呢?如果不进行 base64 编码传入,index.php 就会直接执行,我们就看不到文件中的内容了。
php 协议还常用 php://input,这可以访问请求的原始数据的只读流,可以读取 POST 请求的参数。