深入浅析PHP文件包含漏洞
发布时间:2022-08-10 11:27:53 所属栏目:PHP教程 来源:互联网
导读:漏洞描述 文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。 PHP中引发文件包含漏洞的通常是以下四个函数: 1、include()当使用该函数包含
|
漏洞描述 文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。 PHP中引发文件包含漏洞的通常是以下四个函数: 1、include()当使用该函数包含文件时,只有代码执行到include()函数时才将文件包含进来,发生错误时只给出一个警告,继续向下执行。 2、include_once()功能和include()相同,区别在于当重复调用同一文件时,程序只调用一次。 3、require()只要程序一执行就会立即调用文件,发生错误的时候会输出错误信息,并且终止脚本的运行 4、require_once()它的功能与require()相同,区别在于当重复调用同一文件时,程序只调用一次。 漏洞危害 攻击者可利用该漏洞进行任意文件包含读取,获取服务器敏感信息。 漏洞影响版本 此漏洞的存在与版本无关 漏洞分析 在给PHP发送POST数据包时,如果数据包里包含文件区块,无论你访问的代码中有没有处理文件上传的逻辑,PHP都会将这个文件保存成一个临时文件(通常是/tmp/php[6个随机字符]),文件名可以在$ _FILES变量中找到。这个临时文件,在请求结束后就会被删除。 同时,因为phpinfo页面会将当前请求上下文中所有变量都打印出来,所以我们如果向phpinfo页面发送包含文件区块的数据包,则即可在返回包里找到$_FILES变量的内容,自然也包含临时文件名。 在文件包含漏洞找不到可利用的文件时,即可利用这个方法,找到临时文件名,然后包含之。 但文件包含漏洞和phpinfo页面通常是两个页面,理论上我们需要先发送数据包给phpinfo页面,然后从返回页面中匹配出临时文件名,再将这个文件名发送给文件包含漏洞页面,进行getshell。在第一个请求结束时,临时文件就被删除了,第二个请求自然也就无法进行包含。 这个时候就需要用到条件竞争,具体流程如下: 1)发送包含了webshell的上传数据包给phpinfo,这个数据包的header,get等位置一定要塞满垃圾数据。 2)phpinfo这时会将所有数据都打印出来,其中的垃圾数据会将phpinfo撑得非常大。 3)PHP默认缓冲区大小是4096,即PHP每次返回4096个字节给socket连接。 4)所以,我们直接操作原生socket,每次读取4096个字节,只要读取到的字符里包含临时文件名,就立即发送第二个数据包。 5)此时,第一个数据包的socket连接其实还没有结束,但是PHP还在继续每次输出4096个字节,所以临时文件还未被删除。 6)我们可以利用这个时间差,成功包含临时文件,最后getshell。 环境搭建 启动docker: service start docker 在docker-compose.yml文件所在的路径执行: docker-compose build docker-compose up -d 在这里插入图片描述 漏洞复现 访问http://your-ip:8080/phpinfo.php,可以看到页面出现phpinfo页面 在这里插入图片描述2. 再访问http://your-ip:8080/lfi.php?file=/etc/passwd,可以看到该页面是存在文件包含漏洞的。 在这里插入图片描述POC验证: 使用方法:python3 PHP文件包含漏洞_poc.py --target-url http://192.168.60.244:8080 (编辑:揭阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
