系统环境

因为网上关于dvwa的相关资料都比较旧,所以想重新过一边dvwa的各个类型的漏洞,顺带初步入门php代码审计相关的知识。环境安装可以直接参照网上教程新手指南:手把手教你如何搭建自己的渗透测试环境,已经写的非常详细,可以直接按照教程一步步安装。

简介

File Inclusion
File Inclusion,意思是文件包含(漏洞),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞,远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项(选项开启之后,服务器允许包含一个远程的文件)。

image.png

接下来我们对四个级别的代码进行分析。

Low服务器端核心代码

可以看到,服务端对page参数没有做任何检查跟过滤。服务器预期的是用户点击上面的三个php文件,服务器会包含相应的文件,并将结果返回。需要说明的是,服务器包含文件时,不管文件后缀名是否是php时,都会尝试当做php文件执行,如果文件内容确为php,则会正常执行并返回结果,如果不是,则会原封不动的打印文件内容,所以文件包含漏洞常常会导致任意文件读取和任意命令执行。
点击file1.php后,返回如下:

image.png

然后因为page参数用户可控,所以会造成一系列的问题。
漏洞利用
因为page参数可控,可以尝试读取本地文件

image.png

在php版本小于5.3.4的服务器中,当Magic_quote_gpc选项为off时,我们可以在文件名中使用%00进行截断,也就是说文件名中%00后的内容不会被识别,即下面两个url是完全等效的。

A)http://localhost/DVWA-master/vulnerabilities/fi/?page=/etc/passwd

B)http://localhost/DVWA-master/vulnerabilities/fi/?page=/etc/passwd%00.php

使用%00截断可以绕过某些过滤规则,例如要求page参数的后缀必须为php,这时链接A会读取失败,而链接B可以绕过规则成功读取。
远程文件包含
当服务器的php配置中,选项allow_url_fopen与allow_url_include为开启状态时,服务器会允许包含远程服务器上的文件,如果对文件来源没有检查的话,就容易导致任意远程代码执行。在远程服务器192.168.5.12上传一个phpinfo.txt文件,内容如下

image.png

image.png

image.png

Medium服务端核心代码

可以看到在low的基础上将“https://” “http://” “../”, “..” 替换为空字符
漏洞利用
使用str_replace函数是及其不安全的,因为可以使用双写绕过替换规则。例如page=hthttptp://localhost/php.txt时
str_replace函数会将http://删除,于是page=http://localhost/php.txt。成功执行远程命令。同时,因为替换的只是“../”、“..”,所以对采用绝对路径的方式包含文件是不会受到任何限制的。
远程文件包含

image.png

本地文件包含

image.png

High服务端核心代码

可以看到,High级别的代码使用了fnmatch函数检查page参数,要求page参数的开头必须是file,服务器才会去包含相应的文件。然而file协议,我们比较熟悉的是,当我们用浏览器打开本地的文件时,用的就是file协议。
漏洞利用
成功读取我们想要的文件

image.png

至于执行任意命令,需要配合文件上传漏洞利用。首先需要上传一个内容为php的文件,然后再利用file协议去包含上传文件(需要知道上传文件的绝对路径),从而实现任意命令执行。

Impossible服务端核心代码

可以看到impossible级别的代码采用了白名单模式,参数只接收page参数必须是“include.php”、“file1.php”、“file2.php”、“file3.php”之一,彻底杜绝了文件包含漏洞。

参考文档

文章来源于互联网:新手教程-DVWA全级别教程之File Inclusion

发表评论