攻击者利用包含的特性,加上应用本身对文件(包含)控制不严格,最终造成攻击者进行任意文件包含。(包含的文件内容会被当成PHP脚本文件来解析,忽略文件后缀名)
一句话来说就是:文件包含并不属于漏洞,但是由于对包含进来的文件不可控,导致了文件包含漏洞的产生。
本地文件包含叫做LFI(local file include),远程文件包含叫做RFI(remote file include),默认PHP不开启远程文件包含。
举例,网站根目录下有一个名为 “test.txt” 的文本文件,内容如下:
图1 test.txt
在一张页面中引用这个文件,我使用了include语句,内容如下:
图2 include.php
使用浏览器访问带有文件包含的页面时,效果如下:
图3 访问页面
CVE-2018-12613漏洞来自phpMyAdmin中的一部分代码被重定向和加载,以及对白名单页面进行不正确的过滤,导致攻击者能够读取到服务器下的任意文件。
影响版本:
phpMyAdmin 4.8.0 和 4.8.1
1、首先文件包含利用位于/index.php文件中的target参数
第55-63行:
图 4 index.php
这里写明了想执行包含文件代码include $_REQUEST[‘target’],需要满足以下5个条件:
于是,往前追溯找到变量$target_blacklist具体含有哪些内容。
在同一文件下50-52行:
图 5 target_blacklist
这时清楚了当$_REQUEST[‘target’]不是import.php或export.php,即可以实现文件包含。
二、接下来定位另一个限制,在
/libraries/classes/core.php文件中的checkPageValidity()方法。
位于443-478行处:
图6 checkPageValidity方法
分析该方法中包含的几个if判断:
图7 白名单内容
mb_strpos()函数的意思是返回$page中” # “的位置,然后substr()函数进行截取,返回结果$_page去的是$page问号前面的部分。如果$_page在白名单中就会返回ture。
因为php会将前面的db_sql.php#当成目录,所以需要多加一个/../来跨出目录。如果包含的文件需要传参的时候可以使用&符号。
所以,只要taget参数的值构造得当,就可以实现绕过它的检测,实现文件包含漏洞。
payload:
http://[phpmyadmin_ip]/index.php#target=db_sql.php%253f/../../../../etc/passwd
图 8 漏洞利用
可以看到成功读取了/etc/passwd文件,除此之外还能使用该漏洞配合sql语句写入木马后getshell,感兴趣的小伙伴可以深入研究,发现更多的利用姿势。
1. 在建站的过程中,非必须的情况下设置allow_url_include和allow_url_fopen为关闭;
2. 如果需要文件包含,应对包含的文件进行限制,使用白名单方式或设置可包含目录,如open_basedir;
3. 对用户输入进行严格检查,参数中不允许出现../之类的目录跳转符;
4. 严格检查include类的文件包含函数中的参数是否外界可控。