DVWA系列---File Inclusion 文件包含漏洞

落日映苍穹つ 2023-07-02 06:29 24阅读 0赞

### 文章目录 ###

*   *  前言
     *  一、Low
     *  二、Medium
     *  三、High
     *  四、Impossible

## 前言 ##

**文件包含：**

文件包含是指为了提高开发效率，将不同功能写入到单独文件中，在需要使用该功能时，将相应的文件导入即可。

常见的文件包含函数：

*  require：找不到被包含的文件，报错，并且停止运行脚本。  
    include：找不到被包含的文件,只会报错，但会继续运行脚本。  
    require\_once：与require类似,区别在于当重复调用同一文件时,程序只调用一次。  
    include\_once：与include类似,区别在于当重复调用同一文件时,程序只调用一次。

**文件包含漏洞：**

之所以会形成该漏洞，是由于开发人员在设计导入文件时，未对导入的文件做严格检查，导致用户自行指定导入的文件，尤其是指定一些恶意文件，对服务器造成破坏，这就是文件包含漏洞。

**防御：**

由于文件包含漏洞时由于在导入文件时，没有做细致过滤，因此，防御该攻击的方法，还是应该从服务器入手，对导入的文件做认真检查过滤，防止用户注入恶意文件。

## 一、Low ##

**1、演示**  
打开DVWA文件包含靶场页面，发现URL包含了index.php，分别点击三个文件，URL中的page则分别为相应的文件  
![在这里插入图片描述][20200127173235772.png]  
在桌面创建一个 1.txt 文件，内容为 查看php信息的php语句：

<?php phpinfo(); ?>

利用**访问本地文件**的 File 协议，将page的值改为 1.txt 的绝对路径：

> file://C:\\users\\13714\\Desktop\\1.txt

回车发现已经成功访问并解析该文件，将txt文件解析为php文件  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70]  
也可以**访问网络文件**

将刚才的1.txt文件复制到网站的根目录下，此时的文件网络路径为：

> http://127.0.0.1:8181/1.txt

更改page为该网络路径，成功访问解析  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 1]  
也可以通过**相对路径**访问服务器文件，即 ./ 和 …/  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 2]

**2、源码**  
![在这里插入图片描述][20200127174920235.png]  
嗯。毫无过滤。

## 二、Medium ##

使用Low中的三种方法尝试，发现**只有使用 File 协议访问本地文件时，才能成功**，其余两种均失败。查看源码进一步分析：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 3]  
可见，源码中替换了网络协议 http:// 和 https:// 以及相对路径 …/ 和 …\\。

由于 `str_replace()` 函数**区分大小写**，因此可以采用大小写混用绕过的方法。  
（注：`str_ireplace()` 函数**不区分大小写**，相对更安全。）

如使用 Http等：Http://127.0.0.1:8181/1.txt  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 4]  
也可以采用截断的方法，如：ht`http://`tp://127.0.0.1:8181/1.txt，将中间的 http:// 替换，剩下的自己拼接成一个完整的 url  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 5]  
类似的，也可以截断拼接相对地址：.`../`./.`../`./1.txt  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 6]

## 三、High ##

直接查看源码进行代码审计：

<?php
    
    // The page we wish to display
    $file = $_GET[ 'page' ];
    
    // Input validation
    if( !fnmatch( "file*", $file ) && $file != "include.php" ) { 
        // This isn't the page we want!
        echo "ERROR: File not found!";
        exit;
    }
    
    ?>

关键是这句：`if( !fnmatch( "file*", $file ) && $file != "include.php" )`

fnmatch()函数：匹配字符串，file\* 是指以 file\* 开头。

这句代码的意思：如果文件（路径）不是以 file 开头或文件不是 include.php，则失败。

因此，可以用 file 协议，来打开本地文件：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 7]

## 四、Impossible ##

<?php
    
    // The page we wish to display
    $file = $_GET[ 'page' ];
    
    // Only allow include.php or file{1..3}.php
    if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) { 
        // This isn't the page we want!
        echo "ERROR: File not found!";
        exit;
    }
    
    ?>

emmmm，直接就指定了四个文件，不可能有操作了。

[20200127173235772.png]: https://img-blog.csdnimg.cn/20200127173235772.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70]: https://img-blog.csdnimg.cn/20200127173710614.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 1]: https://img-blog.csdnimg.cn/20200127173958251.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 2]: https://img-blog.csdnimg.cn/20200127175537691.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[20200127174920235.png]: https://img-blog.csdnimg.cn/20200127174920235.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 3]: https://img-blog.csdnimg.cn/2020012718054733.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 4]: https://img-blog.csdnimg.cn/20200128141057276.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 5]: https://img-blog.csdnimg.cn/20200128141445429.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 6]: https://img-blog.csdnimg.cn/20200128141805673.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 7]: https://img-blog.csdnimg.cn/20200128144550564.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw,size_16,color_FFFFFF,t_70