本地搭建 phpMyAdmin v4.8.1 的环境。
既然是审计文件包含漏洞,那么我们只需要关注 include()、include_once()、require()、require_once() 这4个函数即可。
用Seay审计工具查找一下:
搜索的结果中,我们重点关注 include 包含的文件是可控的条目,其他include 固定文件的可以先忽略。
如上图,index.php 文件中有一处包含的文件名,是从请求参数中获取的,于是跟进去看看:
可以看到,target参数值,要满足以下条件,才能被包含:
(1)是一个非空字符串;
(2)不能以 index 开头;
(3)不能在黑名单数组 $target_blacklist 中;
(4)要满足 checkPageValidity() 函数
查看 checkPageValidity() 函数:
可以看到,该函数中有3个地方会返回true,它们最终都是判断变量 $_page 是否在 白名单数组 $whitelist 中。
其中白名单数组部分值如下:
先看第一个返回true的地方:
这里传入的未经任何处理的 $page 进行判断是否在白名单中,因此这里是无法进行绕过的。
然后看第二个返回true的地方:
其中,
mb_strpos是查找字符串(参数二)在目标字符串(参数一)中第一次出现的位置;
mb_substr则是截取从某位置start(参数二)开始往后截取长度为length(参数三) 的子字符串。
所以这里可以通过传入如: db_sql.php?/../../../../../../windows/system.ini 的方式来绕过白名单限制。
所以这里 checkPageValidity() 函数返回后,包含的形式为: include 'db_sql.php?/../../../../../../windows/system.ini',但 php会把问号? 后面的内容当做是 db_sql.php 的传入参数去处理,因此这里无法实现跨路径包含。
再来看第三个返回true的地方:
可以看到这里多了 urldecode() 函数,我们可以利用双重编码来进行绕过,
也就是将问号? 进行两次 URL编码,变为 %253f。
首先 %253f 被传入后,先会被自动URL解码一次,变为 %3f,然后经过 urldecode() 再解码一次,就变成了原先的问号?,从而绕过了白名单的限制。
最终文件包含时就是:include 'db_sql.php%3f/../../../../../../windows/system.ini' 这样的格式,如此就能包含任意文件了,如图:
如果要进一步利用,进行getshell,可以往数据库里创建表,然后往表里写上一句话木马。
文件包含漏洞的挖掘技巧总结:
- 因为文件包含漏洞主要是对包含函数的地方处理不当造成的,所以我们可以针对性的对 include()、include_once()、require()、require_once() 函数 调用的地方进行审计。
文件包含漏洞的防御
- 没有必要的情况下,设置 allow_url_include 和 allow_url_fopen 为关闭;
- 建议假定所有输入都是可疑的,尝试对所有输入提交可能可能包含的文件地址,包括服务器本地文件及远程文件,进行严格的检查,参数中不允许出现../之类的目录跳转符。
