初学者指南——文件包含（LFI / RFI）

时间：2022-02-28 10:46:42 知乎原文链接作者：网盾网络安全培训

在C语言中文件包含是指一个源文件可以将另一个源文件的全部内容包含进来。该命令的作用是在预编译时，将指定源文件的内容复制到当前文件中。文件包含是C语言预处理命令三个内容之一。一个大程序，通常分为多个模块，并由多个程序员分别编程。有了文件包含处理功能，就可以将多个模块共用的数据(如符号常量和数据结构)或函数，集中到一个单独的文件中。这样，凡是要使用其中数据或调用其中函数的程序员，只要使用文件包含处理功能，将所需文件包含进来即可，不必再重复定义它们，从而减少重复劳动和定义不一致造成的错误。

class="ztext-empty-paragraph">

程序开发人员一般会把重复使用的函数写到单个文件中，需要使用某个函数时直接调用此文件，而需再次编写，这种文件调用的过程一般被称为文件包含。

程序开发人员一般希望代码更灵活，所以将被包含的文件设置为变量，用来进行动态调用，但正是由于这种灵活性，从而导致客户端可以调用一个恶意文件，造成文件包含漏洞。

几乎所有脚本语言都会提供文件包含的功能，但文件包含漏洞在PHP Web Application中居多，而在JSP、ASP、http://ASP.NET程序中却非常少，甚至没有，这是有些语言设计的弊端。在PHP中经常出现包含漏洞，但这并不意味着其他语言不存在。

class="ztext-empty-paragraph">

php中引起文件包含漏洞的4个函数：include()、include_once()、require()、require_once()

区别如下：

include：包含并运行指定的文件，包含文件发生错误时，程序警告，但会继续执行。

class="ztext-empty-paragraph">

require：包含并运行指定的文件，包含文件发生错误时，程序直接终止执行。

class="ztext-empty-paragraph">

image.png

require_once() 和 include_once() 功能与require() 和 include() 类似。但如果一个文件已经被包含过了，则 require_once() 和 include_once() 则不会再包含它，以避免函数重定义或变量重赋值等问题。

当利用这四个函数来包含文件时，不管文件是什么类型（图片、txt等等），都会直接作为php文件进行解析。测试代码：

class="ztext-empty-paragraph">

在同目录下有个phpinfo.txt，其内容为<? phpinfo(); ?>。则只需要访问

class="ztext-empty-paragraph">

即可成功解析phpinfo。

class="ztext-empty-paragraph">

image.png

场景

具有相关的文件包含函数。

文件包含函数中存在的动态变量，比如include $file;。

攻击者能够控制该变量，比如 $file = $_GET['file'];。

分类

文件包含分为：本地(LFI)/远程(RFI)包含

本地文件包含漏洞，顾名思义，指的是能打开并包含本地文件的漏洞。大部分情况下遇到的文件包含漏洞都是LFI。简单的测试用例如前所示。

远程文件包含漏洞。是指能够包含远程服务器上的文件并执行。由于远程服务器的文件是我们可控的，因此漏洞一旦存在危害性会很大。

但RFI的利用条件较为苛刻，需要php.ini中进行配置

class="ztext-empty-paragraph">

两个配置选项均需要为On，才能远程包含文件成功。

另外一台需要开启apache

class="ztext-empty-paragraph">

注：在php.ini中，allow_url_fopen默认一直是On，而 allow_url_include 从php5.2之后就默认为Off。

下面例子中测试代码均为：

class="ztext-empty-paragraph">

allow_url_fopen 默认为 On

allow_url_include 默认为 Off

若有特殊要求，会在利用条件里指出。

PHP伪协议以及其他封装协议的利用

php://input

利用条件：

allow_url_include = On。

对allow_url_fopen不做要求。

class="ztext-empty-paragraph">

包含姿势

class="ztext-empty-paragraph">

命令执行

class="ztext-empty-paragraph">

写入一句话木马，有写入的权限

class="ztext-empty-paragraph">

php://filter

利用条件：无甚

姿势：

class="ztext-empty-paragraph">

index2.php?file=php://filter/read=convert.base64-encode/resource=index.php的含义

首先这是一个file关键字的get参数传递，php://是一种协议名称，php://filter/是一种访问本地文件的协议，/read=convert.base64-encode/表示读取的方式是base64编码后，resource=index.php表示目标文件为index.php。

举个例子

class="ztext-empty-paragraph">

其他姿势：

class="ztext-empty-paragraph">

效果跟前面一样，少了read等关键词。在绕过一些waf时也许有用。

class="ztext-empty-paragraph">

phar协议&&zip协议

利用phar://协议特性可以在渗透过程中帮我们绕过一些waf检测此方法使用要php版本大于等于php5.3.0

phar://

利用条件：php版本大于等于php5.3.0

姿势：

假设有个文件phpinfo.txt，起内容为<?php phpinfo(); ?>，打包成zip压缩包，如下：

class="ztext-empty-paragraph">

指定绝对路径

class="ztext-empty-paragraph">

或者使用相对路径（这里phpinfo.zip就在当前目录下）

class="ztext-empty-paragraph">

zip://

关于zip://

php版本大于等于php5.3.0

姿势：

构造zip包的方法同phar。

但使用zip协议，需要指定绝对路径，同时讲#编码为%23，之后填上压缩包内的文件。

class="ztext-empty-paragraph">

注:若是使用相对路径，则会包含失败。

data:URI schema

利用条件：

php版本大于等于php5.2

allow_url_fopen = On

allow_url_include = On

姿势

class="ztext-empty-paragraph">

执行命令：

class="ztext-empty-paragraph">

姿势二：

class="ztext-empty-paragraph">

加号+的url编码为%2b，PD9waHAgcGhwaW5mbygpOz8+的base64解码为：<?php phpinfo();?>

class="ztext-empty-paragraph">

执行命令

class="ztext-empty-paragraph">

其中PD9waHAgc3lzdGVtKCd3aG9hbWknKTs/Pg==的base64解码为：<?php system('whoami');?>

包含session

利用条件：session文件路径已知，且其中内容部分可控。

思路：结合phpmyadmin，因为phpmyadmin每次登录时，会带上session

class="ztext-empty-paragraph">

session文件的绝对路径可在phpinfo中查看，session.save_path

class="ztext-empty-paragraph">

常见的php-session存放位置还有这几个：

class="ztext-empty-paragraph">

使用以下命令可查看到session文件中的登录信息

class="ztext-empty-paragraph">

登录phpmyadmin时，用户名输入一句话木马，再包含session文件，可getshell

class="ztext-empty-paragraph">

解决方式：

在浏览器里有你的cookie所以你可以直接去访问对应的文件包含页面，用菜刀的话是没有cookie的所以你没有办法去访问文件包含页面也就是fi那个页面。所以说会自动跳转到登录页面，显示200ok

加上cookie之后再重新链接，成功连接

class="ztext-empty-paragraph">

包含日志文件

当我们没有上传点，并且也没有url_allow_include功能时，我们就可以考虑包含服务器的日志文件。

利用思路也比较简单，当我们访问网站时，服务器的日志中都会记录我们的行为，当我们访问链接中包含PHP一句话木马时，也会被记录到日志中。

这时候我们如果知道服务器的日志位置，我们可以去包含这个文件从而拿到shell。其实整个“包含日志文件漏洞利用”最关键的就是找日志存放的“物理路径”，只要找到日志的物理存放路径，一切就可以按部就班的完成利用了。

利用的条件：

1、日志的物理存放路径2、存在文件包含漏洞获取日志存放路径

日志默认路径：

apache+Linux日志默认路径：

/etc/httpd/logs/access_log或/var/log/httpd/access_log

apache+win2003日志默认路径：

D:\xampp\apache\logs\access.log

D:\xampp\apache\logs\error.log

IIS6.0+win2003默认日志文件：

C:\WINDOWS\system32\Logfiles

IIS7.0+win2003 默认日志文件：

%SystemDrive%\inetpub\logs\LogFiles

nginx 日志文件：

以我的安装路径为例/usr/local/nginx,

那我的日志目录就是在/usr/local/nginx/logs里

首先，我们直接使用浏览器来构造“php一句话报错请求信息”服务自动记录此一句话信息到服务器日志文件中；

具体构造内容：

class="ztext-empty-paragraph">

测试结果：失败

利用文件包含漏洞直接访问“服务日志文件”，发现文件包含漏洞并未对构造的php一句话进行正常解析，观察发现是构造的PHP一句话中的相关字符在记录进日志文件后，相关的字符被转码了，导致PHP解析失败，具体失败原因见“失败原因分析”

class="ztext-empty-paragraph">

失败原因分析

一句话写入日志文件的利用过程是，利用浏览器直接构造一个关于请求资源的报错信息，消息中包含依据。报错信息服务自动记录到日志文件，但实际测试发现写入日志文件内的报错信息发生了字符转码：

日志文件内容如上图所示：

class="ztext-empty-paragraph">

最后写入到日志文件中的一句话就变成了 %3C?php%20@eval($_POST[c]);?%3E。

失败总结

浏览器直接构造的PHP一句话中特殊字符，会被浏览器自动进行URL转义，导致最终写入日志文件中的PHP一句话包含了这些特殊字符，而这些转码后的编码PHP并不能进行正常的解析。

构造一句话，写入日志文件测试记录

burpsuit 代理抓包改包构造一句话写入日志文件

burpsuit 代理抓包，修改浏览器转码字符，写入正确的php一句话木马到服务器日志文件。

class="ztext-empty-paragraph">

测试记录：成功

通过文件包含直接访问服务日志文件，发现一句话被执行成功；

class="ztext-empty-paragraph">

在用户发起请求时，会将请求写入access.log，当发生错误时将错误写入error.log，还可以包含Apache的错误访问日志

首先，构造一个会报错的访问链接，将利用代码（PHP一句话）写入错误日志记录中

class="ztext-empty-paragraph">

这个链接直接访问的话，一句话会被编码成%3C?php%20@eval($_POST[c]);?%3E，所以需要使用Burp suite改一下包。

class="ztext-empty-paragraph">

对所截获的包进行修改，点击go，返回403报错，服务器错误日志文件成功将此次记录到error.log中

我们根据日志的路径构造访问路径:

class="ztext-empty-paragraph">

客户端连接，获取一句话木马

class="ztext-empty-paragraph">