站长家园(原代码之家)(www.adminjie.com)网站源码,微信源码,游戏源码,商业源码分享平台。
当前位置:网站首页 技术文章 网络编程 正文

深入浅析PHP文件包含漏洞

时间:2022-05-11 [网络编程]作者:fabuyuan 浏览:4 次

本篇文章给大家带来关于PHP的相关知识,其中主要介绍了关于文件包含漏洞的相关问题,文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,希望对大家有帮助。

推荐学习:《PHP视频教程

漏洞描述

文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。
PHP中引发文件包含漏洞的通常是以下四个函数:
1、include()当使用该函数包含文件时,只有代码执行到include()函数时才将文件包含进来,发生错误时只给出一个警告,继续向下执行。
2、include_once()功能和include()相同,区别在于当重复调用同一文件时,程序只调用一次。
3、require()只要程序一执行就会立即调用文件,发生错误的时候会输出错误信息,并且终止脚本的运行
4、require_once()它的功能与require()相同,区别在于当重复调用同一文件时,程序只调用一次。

漏洞危害

攻击者可利用该漏洞进行任意文件包含读取,获取服务器敏感信息。

漏洞影响版本

此漏洞的存在与版本无关

漏洞分析

在给PHP发送POST数据包时,如果数据包里包含文件区块,无论你访问的代码中有没有处理文件上传的逻辑,PHP都会将这个文件保存成一个临时文件(通常是/tmp/php[6个随机字符]),文件名可以在$ _FILES变量中找到。这个临时文件,在请求结束后就会被删除。
同时,因为phpinfo页面会将当前请求上下文中所有变量都打印出来,所以我们如果向phpinfo页面发送包含文件区块的数据包,则即可在返回包里找到$_FILES变量的内容,自然也包含临时文件名。
在文件包含漏洞找不到可利用的文件时,即可利用这个方法,找到临时文件名,然后包含之。
但文件包含漏洞和phpinfo页面通常是两个页面,理论上我们需要先发送数据包给phpinfo页面,然后从返回页面中匹配出临时文件名,再将这个文件名发送给文件包含漏洞页面,进行getshell。在第一个请求结束时,临时文件就被删除了,第二个请求自然也就无法进行包含。
这个时候就需要用到条件竞争,具体流程如下:
1)发送包含了webshell的上传数据包给phpinfo,这个数据包的header,get等位置一定要塞满垃圾数据。
2)phpinfo这时会将所有数据都打印出来,其中的垃圾数据会将phpinfo撑得非常大。
3)PHP默认缓冲区大小是4096,即PHP每次返回4096个字节给socket连接。
4)所以,我们直接操作原生socket,每次读取4096个字节,只要读取到的字符里包含临时文件名,就立即发送第二个数据包。
5)此时,第一个数据包的socket连接其实还没有结束,但是PHP还在继续每次输出4096个字节,所以临时文件还未被删除。
6)我们可以利用这个时间差,成功包含临时文件,最后getshell。

环境搭建

  1. 启动docker
    service start docker
  2. 在docker-compose.yml文件所在的路径执行:
    docker-compose build
    docker-compose up -d

漏洞复现

  1. 访问http://your-ip:8080/phpinfo.php,可以看到页面出现phpinfo页面
    2. 再访问http://your-ip:8080/lfi.php?file=/etc/passwd,可以看到该页面是存在文件包含漏洞的。
    POC验证:
    使用方法:python3 PHP文件包含漏洞_poc.py --target-url http://192.168.60.244:8080

修复建议

设置白名单。

推荐学习:《PHP视频教程》

以上就是深入浅析PHP文件包含漏洞的详细内容,更多请关注站长家园其它相关文章!

本文标签:  php

转载请注明来源:深入浅析PHP文件包含漏洞

本文永久链接地址:https://www.adminjie.com/post/12191.html

免责声明:
本站所发布的一切资源仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。

附:
二○○二年一月一日《计算机软件保护条例》第十七条规定:为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬!鉴于此,也希望大家按此说明研究软件!

版权声明:
一、本站致力于为软件爱好者提供国内外软件开发技术和软件共享,着力为用户提供优资资源。
二、本站提供的部分源码下载文件为网络共享资源,请于下载后的24小时内删除。如需体验更多乐趣,还请支持正版。
三、我站提供用户下载的所有内容均转自互联网。如有内容侵犯您的版权或其他利益的,若有侵犯你的权益请:提交版权证明文件到邮箱 2225329873#qq.com(#换为@) 站长会进行审查之后,情况属实的会在三个工作日内为您删除。

  • 站长家园(原代码之家)会员升级
  • 最新文章
    • linux中什么是静态路由

      linux中什么是静态路由

      在linux中,静态路由是路由项由手动设置的一种路由方式;即使网络状态已经改变或重新被组态,静态路由也是固定不变的,静态路由由网络管理员逐项加入路由表,可用“r...

    • php数组相加会合并重复值么

      php数组相加会合并重复值么

      php数组相加不会合并重复值。php中可使用“+”运算符将一个或多个数组相加起来,会合并这些数组返回一个新数组,语法“数组1+数组2+..”,后面数组的元素会追...

    • php怎么去掉数组前一个元素

      php怎么去掉数组前一个元素

      方法:1、用“array_values($arr)”将数组转为索引数组;2、用“array_search(值,数组)”从索引数组中搜索值,并返回对应索引;2、用...

    • 浅析nodejs项目中的package.json的常见配置属性

      浅析nodejs项目中的package.json的常见配置属性

      本篇文章带大家了解一下node项目中的package.json配置文件,聊聊package.json中一些常见配置属性、环境相关属性、依赖相关属性和三方属性,希...

    • 聊聊如何利用uniapp开发一个贪吃蛇小游戏!

      聊聊如何利用uniapp开发一个贪吃蛇小游戏!

      如何利用uniapp开发一个贪吃蛇小游戏?下面本篇文章就手把手带大家在uniapp中实现贪吃蛇小游戏,希望对大家有所帮助!第一次玩贪吃蛇还隐约记得是?️后父亲给...

    热门文章