米斯特白帽培训讲义漏洞篇文件包含

讲师：gh0stkey

整理：飞龙

协议：CC BY-NC-SA 4.0

原理

文件包含就是将一个文件包含到自己的文件中执行。它可分为本地包含和远程包含，本地包含即包含本地磁盘上的文件，文件名称是相对路径或绝对路径，远程包含即包含互联网上的文件，文件名称是 URL。

示例代码

比如我们有一个test.txt文件，仅仅调用phpinfo来测试：

<?php phpinfo();?>

然后我们在相同目录下放置一个fileinclude.php，如下：

<?php
$file=@$_GET['file'];
$b=@$_GET['b'];
if($file!==null){echo "<center>File:".$file."<br/>Result:</center>";include $file;
}else if($b!==null){echo "<center>File:".$b."<br/>Result:</center>";require($b);require($b.".php");
}

第一行代码获取 URL 参数file的内容。第二行代码获得 URL 参数b的内容。3 ~ 5 行首先判断$file是否为空，若不为空，输出其内容，并将其作为文件名称包含。6 ~ 9 行，若$file为空，则判断$b是否为空，不为空的话，输出其内容，并将其作为文件名称包含。

我们在相同目录下执行php -S 0.0.0.0:80，之后访问http://localhost/fileinclude.php?file=test.txt，会看到phpinfo的输出。

为了演示远程包含，我们需要将 PHP 配置文件中的allow_url_include设置为on，之后重启 PHP。远程包含的话，我们需要将file参数改为http://localhost/text.txt，可以看到相同结果。

如何挖掘

首先对 URL 进行分析，看看是否和文件相关，比如www.test.com/xxx.php?file=yyy。带有文件相关的敏感名称都可以进行挖掘。

利用

当我们发现了本地或远程包含漏洞时，首先寻找上传点，比如用户头像上传功能。然后我们可以构造一个纯文本文件，内容为<?php phpinfo();?>，并将其命名为xxx.jpg。

之后我们就可以把xxx.jpg上传上去，并通过应用得到它的位置，假设是/upload/xxx.jpg，然后我们就可以把file参数的值改为它。以前面的代码为例，URL 是http://localhost/fileinclude.php?file=/upload/xxx.jpg。

要注意这个漏洞是无！视！扩！展！名！的！跟文件上传漏洞不一样，文件上传漏洞中如果我们上传的文件不是.php就执行不了（当然也有一些绕过手段），但是文件包含漏洞中的用户名是任意的，前面我们上传了.txt，证实有效，那么这个.jpg也是有效的。

如果我们把xxx.jpg的内容改为菜刀的一句话，那就可以用菜刀连接。

再说一下远程包含，远程包含的条件比较苛刻，目标网站需要把allow_url_open给打开。所以有本地包含不一定有远程包含，有远程包含一定就有本地包含。但是，远程包含的利用相对简单，只要将代码上传到自己博客，或者任何能通过 URL 访问到的地方就可以了。后续步骤是一样的。