转载PHP本地文件包含和远程文件包含漏洞

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了转载PHP本地文件包含和远程文件包含漏洞相关的知识,希望对你有一定的参考价值。

远程文件包含(Remote File Inclusion),简称RFI,与其对应的是本地文件包含(Local File Inclusion,LFI),它们都是通过php的包含函数即:require(),require_once(),include()和include_once()来使用。

 

一般情况下,用户通过包含函数将具有特定功能的函数或类包含到当前脚本中,是没有什么问题的。但是有时候,为了方便,需要动态的包含文件,这就会留下一些攻击漏洞。

 

通常情况下,LFI攻击威胁不大,因为本地服务器上的文件是比较确定的,攻击者想要上传带有攻击性代码的文件也不是件容易的事。RFI攻击才是我们需要防范的事。那么,RFI攻击是如何实现的呢?

 

首先,提供一个存在RFI漏洞的代码示例(index.php):

<?php
// 存在RFI漏洞的代码片段

$file = $_GET[‘file‘];
include $file;

?>

  

脚本中使用了利用GET方法来动态包含文件,例如:在index.php同级目录下存在include.php文件,我们就可以通过访问类似URL“127.0.0.1/lab/index.php?file=include.php”来包含include.php文件,随后,服务器将解析include.php脚本,将产生的html代码传送给浏览器执行。

 

目前看来,还没出现什么安全问题,因为还仅仅只是包含本地文件。如果是包含远程文件,问题就来了,因为攻击者是可以任意编码远程文件的。

 

需要说明的是,进行RFI攻击需要同时具备三个条件(被攻击机器):

  1. allow_url_fopen = On    (默认开启)
  2. allow_url_include = On  (默认关闭)
  3. 被包含的变量前没有目录的限制

同时满足了这三个条件,就等于为攻击者打开了大门。为了清楚地理解,下面给出一个LFI攻击的实例。(说明:在本地搭建一个存在RFI漏洞的环境,通过包含一个远程主机上的文件来攻击这个本地主机)

 

第一步:设置php.ini文件,将“allow_url_fopen ”和“allow_url_include”都开启,重启Apache。

第二步:创建存在RFI漏洞的脚本文件,如上面的index.php。

第三步:在远程主机上创建一个带有攻击性代码的文本文件hack.txt(Just test),注意这个文件不能被服务器解析,如不能为PHP脚本文件。因为只是演示,文本文件被执行就能满足演示效果了。hack.txt文件内容如下:

hahaha,You are hacked. <?php echo $_GET[‘a‘]; ?>  

  

将文本文件放在一个拥有登录权限的主机根目录下,文本文件在互联网上的位置为:http://yourhost/hack.txt。

第四步:将攻击文件的URL带入include,进行攻击,如图所示:

技术分享

可以看到,文本文件被执行。接着,我们使用其中的PHP代码,如图所示:

技术分享

可以看到,文本文件中的PHP代码被成功执行,现在只是一个演示,但是已经能说明RFI攻击过程。如果攻击者在文件中放入了系统命令,后果将不堪设想。

 

上面提到,攻击文件不能是PHP文件,所以有些经验丰富的开发者会考虑将被包含文件的扩展名写死,如:

<?php
// 存在RFI漏洞的代码片段

$file = $_GET[‘file‘];
include $file.‘.php‘;

?>

   这样,通过以上方法包含远程文件,系统就会警告找不到被包含文件,从而避免攻击。

这种方法确实能起到一定作用,但对那些有经验的攻击者来说,这不是问题。我们知道PHP引擎是有C来实现的,C中空字符就是字符串结束符,因此可以使用空字符将扩展名截断,实现RFI攻击。

 

理解了RFI攻击原理,防御也就简单了。在配置层面,保持PHP的默认设置,将“allow_url_include”关闭;在代码层面,如果一定要动态包含文件,最好明确规定包含哪些文件,进行白名单比对。同时,也可以在包含函数中加入目录限制。

以上是关于转载PHP本地文件包含和远程文件包含漏洞的主要内容,如果未能解决你的问题,请参考以下文章

详解文件包含漏洞

文件包含漏洞

File Inclusion 代码解析 1

文件包含漏洞进阶篇

文件包含漏洞全面详解

Pikachu-File Inclusion(文件包含漏洞)