一次对文件包含漏洞的代码审计（CVE-2018-12613） – 作者:南京聚铭网络

01、什么是文件包含漏洞？

攻击者利用包含的特性，加上应用本身对文件（包含）控制不严格，最终造成攻击者进行任意文件包含。（包含的文件内容会被当成PHP脚本文件来解析，忽略文件后缀名）

一句话来说就是：文件包含并不属于漏洞，但是由于对包含进来的文件不可控，导致了文件包含漏洞的产生。

本地文件包含叫做LFI（local file include），远程文件包含叫做RFI（remote file include），默认PHP不开启远程文件包含。

02、相关函数

include：PHP运行到include然后去调用被包含文件执行，如果包含文件不存在则报错，但是会继续往下执行；

require：PHP在运行前，就先去把被包含文件的内容提取出来然后整合成新的PHP一齐执行，如果包含的文件不存在则报错，不会继续执行；

include_once|require_once：如果文件已经被包含一次就不会重复包含。

举例，网站根目录下有一个名为 “test.txt” 的文本文件，内容如下：

图1 test.txt

在一张页面中引用这个文件，我使用了include语句，内容如下：

图2 include.php

使用浏览器访问带有文件包含的页面时，效果如下：

图3 访问页面

03、漏洞描述

CVE-2018-12613漏洞来自phpMyAdmin中的一部分代码被重定向和加载，以及对白名单页面进行不正确的过滤，导致攻击者能够读取到服务器下的任意文件。

影响版本：

phpMyAdmin 4.8.0 和 4.8.1

04、代码审计

1、首先文件包含利用位于/index.php文件中的target参数

第55-63行：

图 4 index.php

这里写明了想执行包含文件代码include $_REQUEST[‘target’]，需要满足以下5个条件：

$_REQUEST[‘target’] 不为空；

$_REQUEST[‘target’] 是字符串；

$_REQUEST[‘target’] 开头不是index；

$_REQUEST[‘target’] 不在 $target_blacklist 中；

Core::checkPageValidity($_REQUEST[‘target’]) 为真。

于是，往前追溯找到变量$target_blacklist具体含有哪些内容。

在同一文件下50-52行：

图 5 target_blacklist

这时清楚了当$_REQUEST[‘target’]不是import.php或export.php，即可以实现文件包含。

二、接下来定位另一个限制，在/libraries/classes/core.php文件中的checkPageValidity()方法。

位于443-478行处：

图6 checkPageValidity方法

分析该方法中包含的几个if判断：

• 首先$whitelist为空，赋值为self::$goto_whitelist

图7 白名单内容

如果$page在白名单中，就会返回true，但是我们的$page带有参数，就要进行一下判断若$page存在$whitelist中的某个值则返回true；

mb_strpos（）函数的意思是返回$page中” ? “的位置，然后substr(）函数进行截取，返回结果$_page去的是$page问号前面的部分。如果$_page在白名单中就会返回ture。

最后可以得出，若传入target=db_sql.php%253f/../../test.txt（%253f是?的url二次编码），经过两次解码后（GET传参默认解码一次url）变回?，分割后取出前面的字符串为db_sql.php，会进入最后一个 if 判断返回 true

因为php会将前面的db_sql.php?当成目录，所以需要多加一个/../来跨出目录。如果包含的文件需要传参的时候可以使用&符号。

所以，只要taget参数的值构造得当，就可以实现绕过它的检测，实现文件包含漏洞。

05、漏洞复现

payload：

http://[phpmyadmin_ip]/index.php?target=db_sql.php%253f/../../../../etc/passwd

图 8 漏洞利用

可以看到成功读取了/etc/passwd文件，除此之外还能使用该漏洞配合sql语句写入木马后getshell,感兴趣的小伙伴可以深入研究，发现更多的利用姿势。

06、防御措施

1. 在建站的过程中，非必须的情况下设置allow_url_include和allow_url_fopen为关闭；

2. 如果需要文件包含，应对包含的文件进行限制，使用白名单方式或设置可包含目录，如open_basedir；

3. 对用户输入进行严格检查，参数中不允许出现../之类的目录跳转符；

4. 严格检查include类的文件包含函数中的参数是否外界可控。

来源：freebuf.com 2021-06-28 15:28:21 by: 南京聚铭网络