看图说话:文件包含(File Inclusion)漏洞示例
看图说话:文件包含(File Inclusion)漏洞示例
作为测试人员,我们常常听到“安全测试”这个词,但鲜有人真正做过安全测试。从我们的职责“保障质量”角度来说,说是一种“失职”也不为过。那么安全测试是什么,究竟怎么进行安全测试?希望本文能起到抛砖引玉的作用。
文件包含漏洞是什么?
出于工作效率的考虑,程序员编码时常将可重复使用的代码写入到单个的文件中,并在需要的时候将它们包含在特殊的功能代码中,这样被包含文件中的代码就会被解释执行。这就可能带来一个问题:如果没有针对代码中存在文件包含的函数入口做过滤,客户端(一般为浏览器)用户可以提交恶意构造语句到服务器端解释执行,从而导致恶意代码的执行及敏感信息泄露:因为文件包含不仅能够包含web文件目录中的一些配置文件(比如Web应用、数据库配置文件、config文件等),还可以查看到一些Web动态页面的源代码,为攻击者进一步挖掘web应用漏洞提供条件,甚至一旦与路径遍历漏洞相结合,还可能直接攫取目标系统的用户名与密码等文件。
几乎所有脚本语言都会提供文件包含的功能,但文件包含漏洞在PHP搭建的网站中居多。
在PHP编写的程序中都有一个配置文件php.ini,在里面可以开启一个参数allow_url_include(PHP5.2之后默认为Off),开启之后就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件。(~这里缺少一个例子~)
文件包含分为两类:
本地文件包含(LFI):当被包含的文件在服务器本地时,叫本地文件包含。
远程文件包含(RFI):当被包含的文件在第三方服务器时,叫远程文件包含。
跟文件上传漏洞的区别
在上一节中我们谈到了文件上传漏洞,这两者有什么区别呢?
文件包含漏洞:攻击者利用包含的特性,再加上应用本身对文件控制不严,最终造成了攻击者进行任意文件包含。包含进来的文件都以当前脚本文件解析,比如,我们当前测试系统是Apache加php环境,那么被包含进来的文件(比如图片、文本文档),都会被当做php脚本来解析。
文件上传漏洞:攻击者上传一个可执行的脚本文件,通过此脚本文件获得执行服务器端命令的功能。文件上传是否会产生漏洞关键在于服务器怎么来处理、解析这个文件。如果服务器处理的模式不够安全,那么就会导致严重的后果,即上传恶意的可执行文件以后,服务器端对此文件进行执行。
总结一下:文件包含和文件上传本身不是漏洞,但由于对包含进来的文件不可控,所以产生了文件包含漏洞。由于对上传文件的解析、处理不当导致了文件上传漏洞。
示例
1、以下为实际场景实验,打开靶机页面,使用URL http://10.13.80.42/DVWA-master/vulnerabilities/fi/?page=include.php,请注意这里的:“?=page”格式,类似的还有“?=file”、“?=home”:
2、编写文本文件,含有PHP脚本内容,保存至本地C盘根目录,文件名C:/FI_GET_INI.jpg:
3、在地址栏输入http://10.13.80.42/DVWA-master/vulnerabilities/fi/?page=C:/FI_GET_INI.jpg,图片格式文件内的脚本echo phpinfo()被执行,直接抛出服务器重要信息:
如何预防?
上面演示了File Inclusion文件包含漏洞执行恶意脚本并泄露服务器信息可能性,通常预防该漏洞常用的技巧包括:
- allow_url_include(PHP5.2开始默认为OFF)选项关闭(第3步返回信息中可以看到相关选项为ON状态)。
- 可执行脚本文件白名单限制(FI_GET_INI.jpg这个文件不在白名单内将不会被执行)。
- 超长字符串截断(给URL地址栏内构造文件包含路径和文件名制造麻烦,提高攻击门槛)。
- 防止服务器目录遍历(使用open_basedir 选现来指定一个目录,PHP将只访问该目录和该目录子目录,直接执行C盘根目录将不可能)。
作者:9016 來源:简书 说明:本文著作权归作者所有,本文发表已获作者授权,小编在原文基础上略有修改。