Web安全技术 课件 7 文件包含攻击

第7章文件包含攻击01服务器的文件包含功能02文件包含漏洞的原理03文件包含漏洞利用方式04防护手段及绕过方式目录CONTENTS服务器的文件包含功能文件包含PHP中的文件包含功能

在编写含有大量交互功能的站点时，为了实现单一文件在不同页面的重复使用，通常利用文件包含的方式，将本地可被复用的文件利用包含函数在当前页面执行。

例如服务器上有一个文件1.txt，我们利用文件包含功能，可以把该文件执行（打开）。服务器的文件包含功能文件包含PHP中的文件包含功能根据包含的内容来源，可以分为本地文件包含和远程文件包含。要想实现文件包含功能，在PHP服务器的配置文件（php.ini）中还要开启allow_url_include和allow_url_fopen(远程)选项。服务器的文件包含功能文件包含服务器端功能代码

在PHP环境下，可利用include、require、include_once、require_once函数调用文件，实现文件包含功能。一般情况下，均会利用include实现对配置、通用函数的加载，实现代码复用，并且可使站点的结构非常清晰。

我们通过一个简单的程序来实现文件包含的效果。代码如下：<?php

$file=$_GET[“file”];

if($file)

{include($file);}?>01服务器的文件包含功能02文件包含漏洞的原理03文件包含漏洞利用方式04防护手段及绕过方式目录CONTENTS文件包含漏洞的原理文件包含

文件包含漏洞是指当PHP函数引入文件时，没有合理校验传入的文件名，从而操作了预想之外的文件，导致意外的文件泄漏甚至恶意的代码被执行。例如我们之前上传了木马，就可以通过这种方式去执行木马。文件包含漏洞的原理文件包含

攻击者要想成功利用文件包含漏洞进行攻击，必须满足以下两个条件：Web应用采用include()等文件包含函数，并且需要包含的文件路径是通过用户传输参数的方式引入。用户能够控制包含文件的参数，且被包含的文件路径可被当前页面访问。01服务器的文件包含功能02文件包含漏洞的原理03文件包含漏洞利用方式04防护手段及绕过方式目录CONTENTS文件包含漏洞利用方式文件包含

如果用户上传的文件内容中包含PHP代码，但无法直接执行，假设存在包含漏洞，那么就可利用包含漏洞将用户上传的PHP代码由包含函数加载，进而实现代码的执行。

但这种情况下漏洞能否利用成功，还取决于文件上传功能的设计：攻击者需要知道上传文件存放的物理位置攻击者对上传文件所在的目录有执行权限两个条件缺一不可。一旦条件满足，则会带来非常大的安全问题。例如木马文件被执行，则攻击者就能获取站点的webshell。上传文件包含文件包含漏洞利用方式文件包含攻击者可以向Web日志中插入PHP代码，通过文件包含漏洞来执行包含在Web日志中的PHP代码。通过各种方式获取日志文件的位置。由于access.log和error.log过大，包含一个这么大的文件的PHP进程可能会卡死。一般网站每天会生成一个新的日志文件，因此，在站点访问量较少时进行攻击相对来说容易成功。在URL中插入执行代码，将其记录进日志文件。为防止写入的代码被浏览器进行URL转义，可以使用Burpsuite抓包修改。在URL中执行文件包含，包含的文件是日志文件，日志中的代码即可被执行。请观看视频：日志文件包含日志文件包含文件包含漏洞利用方式文件包含操作系统中敏感信息非常多，可以利用文件包含漏洞直接读取这些敏感信息，为后续的渗透提供便利。常见的敏感信息路径如下：Windows系统：C:\boot.ini//查看系统版本C:\Windows\System32\inetsrv\metaBase.xml//IIS配置文件C:\Windows\repair\sam//存储Windows系统初次安装的密码C:\ProgramFiles\mysql\my.ini//MySQL配置信息Linux系统：/etc/passwd//用户账户信息/etc/httpd/conf/httpd.conf//Apache配置文件/etc/my.conf//MySQL配置文件敏感文件包含文件包含漏洞利用方式文件包含利用方式包含已上传的木马包含被写入木马的日志文件包含敏感文件包含临时文件通过别的手段上传木马成功，但无法执行，则可通过包含的形式调用木马，但须注意获得木马的绝对路径Error_log写马access_log写马伪造httpbasic认证失败，写入报错文件，需注意密码以base64编码形式发送，且密码为一句话木马以正常方式访问页面，其中需添加一句话木马，但须注意access.log文件可能过大导致读取失败系统文件配置文件Passwd、shadows、environ等系统文件，但需根据当前中间件权限判定是否可读取包含httpd、conf、php、ini等配置信息较为极端情况，多数为审代码方可发现的漏洞01服务器的文件包含功能02文件包含漏洞的原理03文件包含漏洞利用方式04防护手段及绕过方式目录CONTENTS防护手段及绕过方式文件包含文件包含漏洞在攻击方面会有两个关注点：包含目标文件内容合法性以及包含文件的路径。针对文件内容合法性，更多的是要在各类上传及文件接口上做好对应的防护。在文件包含漏洞的防护方面，更多的是针对包含文件的过程进行防护，防护手段主要分为对包含目标的参数过滤和中间件级安全配置两个方面。防护手段及绕过方式文件包含

包含文件名验证是指对可包含文件名设置黑白名单、文件后缀名固定等，效果非常类似于文件上传攻击对文件后缀名的防护方式，比如只允许后缀为.jpg的文件包含等。针对文件名的防护方式思路非常清晰，即严格限定文件类型。文件名验证防护手段及绕过方式文件包含1.防护思路

在针对文件包含攻击的防护上，首先需要针对文件名进行验证，最有效的方式是严格限定文件名的合法性。可采取的方法主要为：文件后缀名固定：在包含的文件名后加固定的后缀，期望文件按预期目标解析文件名过滤：可以用白名单或黑名单，限定包含的文件名。文件名验证防护手段及绕过方式文件包含2.防护代码文件后缀名固定，以强制文件后缀名为”.html”为例，参考代码如下：<?php

$file=$_GET[‘page’];

if($file)

{

include(“”.$_GET[‘page’].”html”);

}?>文件名验证防护手段及绕过方式文件包含2.防护代码文件名过滤，对传入的文件名后缀进行过滤，参考代码如下：<?php

$filename=strrchr($name,‘.’);

switch($filename){case‘.jpg’:

case‘.png’:

include‘$name’;

break;

default:

echo“无效文件，请重新选择”;

}?>文件名验证防护手段及绕过方式文件包含3.绕过方式绕过文件名后缀

攻击者可以在文件名后放一个空字节的编码，从而绕过这样的文件类型的检查。例如，对于“../../../../boot.ini%00.jpg”，Web应用程序使用的API会允许字符串中包含空字符，当实际获取文件名时，则由系统的API直接截断，而解析为“../../../../boot.ini”，这是利用PHP5.3.4之前的%00截断特定实现的，在上传攻击中也有相关利用措施。文件名验证防护手段及绕过方式文件包含3.绕过方式通过目录长度限制截断

通过目录长度限制让系统舍弃固定的后缀名。Windows下可利用256位截断，Linux下则需要4096位截断。例如：/filein.php?file=phpinfo.php/././././././/.txt文件名验证防护手段及绕过方式文件包含

在做好针对文件名的防护后，会发现仍存在一定的安全隐患。因此，后续思路是要针对包含文件的目录进行合法性检验，也就是对包含的文件路径进行严格的限制。1.防护思路

针对文件包含攻击防护，关键点在于如何限制用户直接针对文件路径进行修改，因此，防护手段只有两种：目录限制，在用户提交的变量前增加固定路径，限制用户可调用的目录范围。目录回退符过滤，避免回退符生效导致路径变化路径限制防护手段及绕过方式文件包含2.防护代码目录限制，可设定只允许包含的文件目录。参考代码如下：<?php

$file=$_GET[‘page’];

if($file)

{

include‘/var/www/html’.$file;

}?>路径限制防护手段及绕过方式文件包含2.防护代码目录回退符过滤，目录回退符常用”/”、”.”等符号实现。因此，对用户输入的参数中的特殊字符进行过滤，即可避免出现目录回退符的问题。参考代码如下：路径限制<?phpfunctionfilter($str)

{$str=str_replace(“..”,””,$str);

$str=str_replace(“.”,””,$str);$str=str_replace(“/”,””,$str);$str=str_replace(“\”,””,$str);return$str;

}$file=$_GET[‘page’];