本篇文章給大家?guī)?lái)關(guān)于PHP的相關(guān)知識(shí)，其中主要介紹了關(guān)于文件包含漏洞的相關(guān)問(wèn)題，文件包含漏洞的產(chǎn)生原因是在通過(guò)PHP的函數(shù)引入文件時(shí)，由于傳入的文件名沒(méi)有經(jīng)過(guò)合理的校驗(yàn)，從而操作了預(yù)想之外的文件，希望對(duì)大家有幫助。

推薦學(xué)習(xí)：《PHP視頻教程》

漏洞描述

文件包含漏洞的產(chǎn)生原因是在通過(guò)PHP的函數(shù)引入文件時(shí)，由于傳入的文件名沒(méi)有經(jīng)過(guò)合理的校驗(yàn)，從而操作了預(yù)想之外的文件，就可能導(dǎo)致意外的文件泄露甚至惡意的代碼注入。
PHP中引發(fā)文件包含漏洞的通常是以下四個(gè)函數(shù)：
1、include()當(dāng)使用該函數(shù)包含文件時(shí)，只有代碼執(zhí)行到include()函數(shù)時(shí)才將文件包含進(jìn)來(lái)，發(fā)生錯(cuò)誤時(shí)只給出一個(gè)警告，繼續(xù)向下執(zhí)行。
2、include_once()功能和include()相同，區(qū)別在于當(dāng)重復(fù)調(diào)用同一文件時(shí)，程序只調(diào)用一次。
3、require()只要程序一執(zhí)行就會(huì)立即調(diào)用文件,發(fā)生錯(cuò)誤的時(shí)候會(huì)輸出錯(cuò)誤信息，并且終止腳本的運(yùn)行
4、require_once()它的功能與require()相同，區(qū)別在于當(dāng)重復(fù)調(diào)用同一文件時(shí)，程序只調(diào)用一次。

漏洞危害

攻擊者可利用該漏洞進(jìn)行任意文件包含讀取，獲取服務(wù)器敏感信息。

漏洞影響版本

此漏洞的存在與版本無(wú)關(guān)

漏洞分析

在給PHP發(fā)送POST數(shù)據(jù)包時(shí)，如果數(shù)據(jù)包里包含文件區(qū)塊，無(wú)論你訪問(wèn)的代碼中有沒(méi)有處理文件上傳的邏輯，PHP都會(huì)將這個(gè)文件保存成一個(gè)臨時(shí)文件（通常是/tmp/php[6個(gè)隨機(jī)字符]），文件名可以在$ _FILES變量中找到。這個(gè)臨時(shí)文件，在請(qǐng)求結(jié)束后就會(huì)被刪除。
同時(shí)，因?yàn)閜hpinfo頁(yè)面會(huì)將當(dāng)前請(qǐng)求上下文中所有變量都打印出來(lái)，所以我們?nèi)绻騪hpinfo頁(yè)面發(fā)送包含文件區(qū)塊的數(shù)據(jù)包，則即可在返回包里找到$_FILES變量的內(nèi)容，自然也包含臨時(shí)文件名。
在文件包含漏洞找不到可利用的文件時(shí)，即可利用這個(gè)方法，找到臨時(shí)文件名，然后包含之。
但文件包含漏洞和phpinfo頁(yè)面通常是兩個(gè)頁(yè)面，理論上我們需要先發(fā)送數(shù)據(jù)包給phpinfo頁(yè)面，然后從返回頁(yè)面中匹配出臨時(shí)文件名，再將這個(gè)文件名發(fā)送給文件包含漏洞頁(yè)面，進(jìn)行g(shù)etshell。在第一個(gè)請(qǐng)求結(jié)束時(shí)，臨時(shí)文件就被刪除了，第二個(gè)請(qǐng)求自然也就無(wú)法進(jìn)行包含。
這個(gè)時(shí)候就需要用到條件競(jìng)爭(zhēng)，具體流程如下：
1）發(fā)送包含了webshell的上傳數(shù)據(jù)包給phpinfo，這個(gè)數(shù)據(jù)包的header，get等位置一定要塞滿垃圾數(shù)據(jù)。
2）phpinfo這時(shí)會(huì)將所有數(shù)據(jù)都打印出來(lái)，其中的垃圾數(shù)據(jù)會(huì)將phpinfo撐得非常大。
3）PHP默認(rèn)緩沖區(qū)大小是4096，即PHP每次返回4096個(gè)字節(jié)給socket連接。
4）所以，我們直接操作原生socket，每次讀取4096個(gè)字節(jié)，只要讀取到的字符里包含臨時(shí)文件名，就立即發(fā)送第二個(gè)數(shù)據(jù)包。
5）此時(shí)，第一個(gè)數(shù)據(jù)包的socket連接其實(shí)還沒(méi)有結(jié)束，但是PHP還在繼續(xù)每次輸出4096個(gè)字節(jié)，所以臨時(shí)文件還未被刪除。
6）我們可以利用這個(gè)時(shí)間差，成功包含臨時(shí)文件，最后getshell。

環(huán)境搭建

1. 啟動(dòng)docker：
   service start docker
2. 在docker-compose.yml文件所在的路徑執(zhí)行：
   docker-compose build
   docker-compose up -d
   

漏洞復(fù)現(xiàn)

1. 訪問(wèn)http://your-ip:8080/phpinfo.php，可以看到頁(yè)面出現(xiàn)phpinfo頁(yè)面
   2. 再訪問(wèn)http://your-ip:8080/lfi.php?file=/etc/passwd，可以看到該頁(yè)面是存在文件包含漏洞的。
   POC驗(yàn)證：
   使用方法：python3 PHP文件包含漏洞_poc.py –target-url http://192.168.60.244:8080
   

修復(fù)建議

設(shè)置白名單。

推薦學(xué)習(xí)：《PHP視頻教程》