专栏首页数据库安全PHP文件包含漏洞原理分析|美创安全实验室
原创

PHP文件包含漏洞原理分析|美创安全实验室

PHP是目前非常流行的Web开发语言,但是在利用PHP开发Web应用时,如果稍有不注意,就会产生PHP文件包含漏洞。PHP文件包含漏洞是一种常见的漏洞,而通过PHP文件包含漏洞入侵网站,甚至拿到网站的WebShell的案例也是不胜枚举。本期美创安全实验室将带大家了解PHP文件包含漏洞的产生原因和漏洞原理。

漏洞简介

文件包含漏洞(File Inclusion)是一种常见的依赖于脚本运行从而影响Web应用的漏洞。严格来说,文件包含漏洞是“代码注入”的一种,许多脚本语言,例如PHP、JSP、ASP、.NET等,都提供了一种包含文件的功能,这种功能允许开发者将可使用的脚本代码插入到单个文件中保存,在需要调用的时候可以直接通过载入文件的方式执行里面的代码,但是如果攻击者控制了可执行代码的路径,也就是文件位置时,攻击者可以修改指定路径,将其指向一个包含了恶意代码的恶意文件。

文件包含漏洞通常都会使Web服务器的文件被外界浏览导入信息泄露,执行的恶意脚本会导致网站被篡改,执行非法操作,攻击其他网站,获取WebShell等严重危害。

漏洞产生原理

在上一节的描述中我们提到,攻击者通过控制可执行代码的路径就可以实现文件包含漏洞,这只是一个对整体攻击流程的简化描述,在实际情境下,服务器解析执行php文件时通过包含函数可以加载另一个文件中的php代码,当被包含的文件中存在木马时,就意味着木马程序会在服务器上加载执行。

所以产生文件包含漏洞的根本原因在于开发者是否对通过包含函数加载的文件进行了严格且合理的校验,在PHP中总共有四种文件包含函数:

1)Include():包含并运行指定的文件,只有在程序执行到include时才包含文件,且当包含文件发生错误时,程序警告,但会继续执行。

2)Require():只要程序一运行就会执行该包含文件函数,当包含文件发生错误时,程序直接终止执行。

3)Include_once():和include()类似,不同之处在于include_once会检查这个文件是否已经被导入,如果已导入、下文便不会再导入。

4)Require_once():和require()类似,不同处在于require_once也是与include_once一样只导入一次。

根据被包含文件的位置不同,PHP文件包含漏洞可以分为本地文件包含漏洞(Local File Inclusion,LFI),和远程文件包含漏洞(Remote File Inclusion,RFI)。顾名思义,所谓的本地文件包含漏洞指的是攻击者通过控制包含文件函数,如include(),require()等,加载服务器本地上的PHP脚本文件,当然如果本地的PHP脚本文件都是一些对系统无害的功能性文件,攻击者也无法进行进一步的利用,但若是攻击者能够配合任意文件上传漏洞,将恶意文件上传进服务器中,再通过本地文件包含执行该恶意脚本就可以达到获得网站控制权的目的。

而远程文件包含漏洞是指攻击者可以通过文件包含函数加载其他服务器上的PHP文件,在实际项渗透目中,攻击者可以在自己的服务器上存放一个可执行的恶意文件,然后通过目标网站存在远程文件包含漏洞来加载相关文件,实现任意命令执行。

漏洞复现

1、PHP本地文件包含漏洞获取服务器敏感信息

搭建测试环境,为了方便演示,我们简单设计了一个服务器上的PHP脚本代码,如下:

其中PHP配置文件中,allow_url_fopen和allow_url_include两个参数默认是ON的状态。(在本地文件包含漏洞中,allow_url_fopen必须是ON的状态allow_url_include的状态可以不用必须指定。)

通过访问该资源,可以判断使用了文件包含函数。

服务器直接将file参数当作文件包含的参数路径,并未做任何过滤,攻击者可以直接在file参数后面填写服务器敏感文件路径,从而获得服务器敏感信息,例如在file后加上../../MYSQL/my.ini即可读取到服务器本地的Mysql配置文件。

2、PHP远程文件包含漏洞获得网站WebShell

同样还是采用相同的服务器代码,其中PHP配置文件中,allow_url_fopen和allow_url_include两个参数都必须是ON的状态。

目标服务器地址:192.168.20.35

攻击者远程服务器:192.168.210.102

在攻击者个人服务器上,放置了一个恶意文件(index.txt),如下:

该文件可以向目标服务器上创建一个hack.php脚本文件,并向其中写入一句话木马(已被Base64加密),这里要注意的是恶意文件不能是php可解析的扩展名,也就是不能以php结尾。

攻击者通过远程文件包含漏洞,触发该文件(在file参数处写入http://192.168.210.35/index.txt即可),如下:

然后攻击者就可以通过连接工具,远程连接木马并获得网站WebShell

防御方案

1、设置白名单

代码在进行文件包含时,如果文件名可以确定,可以设置白名单对传入的参数进行比较。

2、过滤危险字符

由于Include/Require可以对PHP Wrapper形式的地址进行包含执行(需要配置php.ini),在Linux环境中可以通过”../../”的形式进行目录绕过,所以需要判断文件名称是否为合法的PHP文件。

3、设置文件目录

PHP配置文件中有open_basedir选项可以设置用户需要执行的文件目录,如果设置目录的话,PHP仅仅在该目录内搜索文件。

4、关闭危险配置

PHP配置中的allow_url_include选项如果打开,PHP会通过Include/Require进行远程文件包含,由于远程文件的不可信任性及不确定性,在开发中禁止打开此选项,PHP默认是关闭的。

5、提升安全开发意识

任意文件包含漏洞的主要出现在能够解析处理脚本文件的函数上,没有对输入的变量进行过滤,导致任意文件包含,进而导致恶意代码执行。在开发处理这类功能函数上,一定要遵循编程规范;在代码核心处,对变量进行过滤限制,设置文件路径或者白名单,避免执行任意文件包含。

本文转自杭州美创科技有限公司(第59号),如需二次转载,请咨询。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 零信任架构2.0的进化:基于身份的自动行为识别

    零信任架构是美创数据安全实践的核心遵循思想。美创从数据不应该自动信任任何人的基本观点开始,从2010年开始实践,在2015年左右正式形成了零信任架构1.0版本,...

    数据安全
  • 动态脱敏典型应用场景分析——业务脱敏、运维脱敏、数据交换脱敏

    如前文《静态脱敏典型应用场景分析——开发测试、数据共享、科学研究》所说,当前数据脱敏产品主要包括静态脱敏、动态脱敏产品两类。由于两者使用场景不同,关键技术有所差...

    数据安全
  • 数据库防火墙

    数据库防火墙仿佛是近几年来出现的一款新的安全设备,但事实上历史已经很长。2010年,Oracle公司在收购了Secerno公司,在2011年2月份正式发布了其数...

    数据安全
  • (2)NSNumber及Tagged Pointer

    czjwarrior
  • Confluence 6 移动浏览的面板 —— 你首先看到的

    有关更多Confluence 6 移动界面的使用,请参考页面通过你的移动浏览器使用 Confluence中的内容。

    HoneyMoose
  • 想要自己搭建NAS服务器?看这篇文章,小白也能学会!(二)

    ? 本文为《想要自己搭建NAS服务器?看这篇文章,小白也能学会!》的第二篇,本片主讲内容为NAS服务器...

    小小科
  • 学学做私有云的报价配置单

    一、私有云服务器的网口一般单机在7个以上,主要是为了保障专网专用、以及相应的冗余。

    希望的田野
  • 聊聊flink的ActorGateway

    flink-1.7.2/flink-runtime/src/main/java/org/apache/flink/runtime/instance/ActorG...

    codecraft
  • 拔刺 | 人工智能会替代哪些职业岗位?

    从乌镇互联网大会,到阿尔法狗(AlphaGo)击败职业围棋手柯洁,紧接着李彦宏坐着无人驾驶汽车驶入五环,腾讯宣布进军AI… 人工智能以指数形式在整个世界传播。人...

    镁客网
  • linux基本命令集锦

    1. Cat命令 使用权限:所有使用者  使用方式:cat [-AbeEnstTuv] [–help] [–version] fileName  说明...

    苦咖啡

扫码关注云+社区

领取腾讯云代金券