PHP文件包含漏洞详解

⽂件包含漏洞⽂件包含漏洞原理：⽂件包含漏洞是渗透测试过程中⽤的⽐较多的⼀个漏洞，主要⽤来绕过上传⽊马⽂件。

程序开发⼈员通常会把可重复使⽤的函数写到单个⽂件中，在使⽤某种函数时，直接调⽤此⽂件，⽽⽆需再次编写，这种调⽤⽂件的过程⼀般称为包含。

PHP包含：PHP中⽂件包含函数有以下四种:require()：函数出现错误的时候，会直接报错并退出程序的执⾏require_once()：同require（），区别在于重复调⽤同⼀⽂件时，程序只调⽤⼀次include()：在包含的过程中如果出现错误，会抛出警告，程序继续正常运⾏include_once()：同include（），区别在于重复调⽤同⼀⽂件时，程序只调⽤⼀次漏洞产⽣原因：⽂件包含函数加载的参数没有经过过滤或者严格的定义，可以被⽤户控制，包含其他恶意⽂件，导致了⾮预期的代码。

⽰例代码<?php$filename=$_GET['filename'];include($filename);>$_GET['filename']参数开发者没有经过严格的过滤，直接带⼊了include的函数，攻击者可以修改$_GET['filename']的值，执⾏⾮预期的操作。

常见的敏感信息路径：windows系统c:\boot.ini //查看系统版本c:\windows\system32\inetsrv\MetaBase.xml //IIs配置⽂件c:\windows\repair\sam //存储windows系统初次安装的密码c:\ProgramFiles\mysql\my.ini //Mysql配置c:\ProgramFiles\mysql\data\mysql\user.MYD MySQL root密码c:\windows\php.ini //php配置信息Linux/Unix系统/etc/password //账户信息/etc/shadow //账户密码⽂件/usr/local/app/apache2/conf/httpd.conf //Apache2默认配置⽂件/usr/local/app/apache2/conf/extra/httpd-vhost.conf //虚拟⽹站配置/usr/local/app/php5/lib/php.ini //PHP相关配置/etc/httpd/conf/httpd.conf //Apache配置⽂件/etc/my.conf //mysql配置⽂件⽂件包含漏洞危害：配合⽂件上传漏洞GetShell可以配置任意脚本代码⽹站源码⽂件以及配置⽂件泄露远程包含GetShell控制整个⽹站甚⾄是服务器⽂件包含漏洞分为本地和远程⽂件包含：本地⽂件包含漏洞利⽤：上传图⽚马，包含图⽚马GetShell读取⽹站源码以及配置⽂件包含⽇志⽂件GetShell本地⽂件包含绕过和利⽤：包含上传图⽚马%00截断路径长度截断读服务器本地⽂件读⽹站源码⽂件包含⽇志⽂件GetShell远程⽂件包含利⽤：修复办法：php中使⽤open_basedir配置限制访问在指定的区域过滤. / |禁⽌服务器远程包含（allow_url_fopen,allow_url_include,off)严格判断包含中的参数是否外部可控，因为⽂件包含漏洞利⽤成功与否的关键点就在于被包含的⽂件是否可以被外部控制路径限制：限制被包含的⽂件只能在某⼀⽂件夹内，⼀定要禁⽌⽬录跳转字符，如：“../"包含⽂件验证：验证被包含的⽂件是否是⽩名单的⼀员；尽量不要使⽤动态包含，可以在需要包含的页⾯固定写好，如include("head.php");。

PHP网站常见的安全漏洞PHP网站常见的安全漏洞目前PHP网站常见的漏洞有五种，分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。

下面为大家简单介绍一些。

1、session文件漏洞Session攻击是黑客最常用到的攻击手段之一。

当一个用户访问某一个网站时，为了免客户每进人一个页面都要输人账号和密码，PHP 设置了Session和Cookie用于方便用户的使用和访向。

2、SQL注入漏洞在进行网站开发的时候，程序员由于对用户输人数据缺乏全面判断或者过滤不严导致服务器执行一些恶意信息，比如用户信息查询等。

黑客可以根据恶意程序返回的结果获取相应的信息。

这就是月行胃的SQL注入漏洞。

3、脚本执行漏洞脚本执行漏洞常见的`原因是由于程序员在开发网站时对用户提交的URL参数过滤较少引起的，用户提交的URL可能包含恶意代码导致跨站脚本攻击。

脚本执行漏洞在以前的PHP网站中经常存在，但是随着PHP版本的升级，这些间题已经减少或者不存在了。

4、全局变量漏洞PHP中的变量在使用的时候不像其他开发语言那样需要事先声明，PHP中的变量可以不经声明就直接使用，使用的时候系统自动创建，而且也不需要对变量类型进行说明，系统会自动根据上下文环境自动确定变量类型。

这种方式可以大大减少程序员编程中出错的概率，使用起来非常的方便。

5、文件漏洞文件漏洞通常是由于网站开发者在进行网站设计时对外部提供的数据缺乏充分的过滤导致黑客利用其中的漏洞在Web进程上执行相应的命令。

假如在lsm.php中包含这样一段代码:include($b.”/aaa.php”.)，这对黑客来说，可以通过变量$b来实现远程攻击，可以是黑客自已的代码，用来实现对网站的攻击。

可以向服务器提交 a.php include=http://lZ7.0.0. 1/b.php,然后执行b.php的指令。

下载全文。

php⽂件包含伪协议⽂件上传漏洞相关说明1.上传⽂件过滤了后缀名和MIME类型，$_FILES['pic']['type']是由浏览器传输的⽂件类型决定，但是mime_content_type()是由php 内置⽅法判断⽂件类型；⽀持⽂件类型为application/zip,⽀持上传zip压缩⽂件，后缀名还是要改成.jpg或.gif,上传后将该名为随机数字(1499394959).jpg格式$name1=substr($name,-4);if(($name1!==".gif") and ($name1!==".jpg")){echo "<script language=javascript>alert('上传照⽚只能是JPG或者GIF！');history.go(-1)</script>";exit;}if(mime_content_type($tmpName)!=="image/jpeg"&&mime_content_type($tmpName)!=="image/gif"&&mime_content_type($tmpName)!=="application/zip") {echo mime_content_type($tmpName);echo "<script language=javascript>alert('上传照⽚只能是JPG或者GIF！');history.go(-1)</script>";exit;}2.任意⽂件包含$f = $_GET['f'];include_once('sys/config.php');include($f);利⽤zip或phar伪协议读取压缩包中的⽂件/about.php?f=phar://./images/1499394959.jpg/1.php/about.php?f=zip://./images/1499394959.jpg%231.php上传webshell完成扩展：php伪协议：file:// — 访问本地⽂件系统http:// — 访问 HTTP(s) ⽹址ftp:// — 访问 FTP(s) URLsphp:// — 访问各个输⼊/输出流（I/O streams）zlib:// — 压缩流data:// — 数据（RFC 2397）glob:// — 查找匹配的⽂件路径模式phar:// — PHP 归档ssh2:// — Secure Shell 2rar:// — RARogg:// — ⾳频流expect:// — 处理交互式的流。

文件包含漏洞的利用及防御方案作者美创科技安全实验室01、漏洞介绍文件包含漏洞是代码注入的一种。

其原理就是注入一段用户能控制的脚本或代码，并让服务器端执行，代码注入的典型代表就是文件包含Fileinclusion。

文件包含可能会出现在jsp、php、asp等语言中。

服务器通过函数去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件，而我们可以构造这个恶意文件来达到邪恶的目的。

常见的文件包含的函数如下：PHP：include()、include_once()、require()、require_once()、fopen()、readfile()JSP/Servlet：ava.io.file()、java.io.filereader()ASP：include file、include virtual02、文件包含漏洞的分类文件包含可以分为本地文件包含和远程文件包含两种。

顾名思义，本地文件包含就是通过URL将服务器本地的其他文件include进来。

远程文件包含就是将远程服务器的文件include进来。

最主要的是，包含进来的文件都以当前脚本文件解析，比如，当前测试系统是Apache加php环境，那么被include进来的文件，不管是什么类型，比如说图片，文本文档，这些文件被包含以后，都会被当做php脚本来解析。

03、文件包含漏洞的危害①执行任意代码②读取文件源码或敏感信息。

③包含恶意文件控制网站，甚至控制服务器。

04、文件包含漏洞漏洞复现利用DVWA靶场进行CSRF漏洞演练：1.Low Security Level查看源码：服务器获取page的值，没有进行任何过滤。

因此直接读取C:\Users\dell\Desktop\1.txt文件。

若文件中存在php代码，<?php phpinfo();?>，则会执行php代码并返回代码执行的结果。

还可以进行远程文件包含，如下：2.Medium Security Level查看源码：Medium等级的代码将'http://','https://','../','..\'都替换为空，防御了简单的远程和本地包含。

文件包含漏洞的原理(一)文件包含漏洞什么是文件包含漏洞文件包含漏洞（File Inclusion Vulnerability）是一种安全漏洞，存在于很多动态网页编程语言中的文件包含函数中，如PHP的include()或require()函数。

攻击者可通过构造恶意请求，导致服务器加载并执行攻击者指定的文件，从而导致服务器遭受各种安全威胁。

原理解析文件包含漏洞的原理实际上是由于开发者未对用户输入进行充分过滤和验证，将用户输入直接作为文件路径或者参数传递给文件包含函数。

攻击者可以利用这个漏洞，通过构造特定的请求，来执行任意文件的代码。

1. 本地文件包含本地文件包含漏洞发生在当某个参数直接被用于引用本地文件的情况下。

攻击者可以通过指定特定的文件路径，让服务器加载攻击者所需要的文件。

攻击者可以利用本地文件包含漏洞获取敏感信息、执行恶意代码等。

2. 远程文件包含远程文件包含漏洞则是指通过远程服务器上的文件，来执行代码。

攻击者通过构造特定的请求，将恶意文件的URL传递给文件包含函数，服务器会从远程服务器获取对应的文件内容并执行。

攻击者可以利用此漏洞执行恶意代码、操纵服务器等。

如何防范文件包含漏洞要有效防止文件包含漏洞的发生，开发人员需要采取一系列的防范措施。

1. 输入验证和过滤开发者应该对用户输入进行严格的验证和过滤。

对于文件路径参数，应该使用白名单或可信列表，限定可能的文件路径。

对于用户输入参数，应该进行输入过滤、转义或编码，确保输入不会被当作代码执行。

2. 避免使用用户输入拼接路径开发者应该尽量避免使用用户输入来拼接文件路径。

最好使用绝对路径或者相对于程序根目录的路径来引用文件。

3. 使用安全的文件包含函数一些编程语言提供了更安全的文件包含函数，如PHP中的include_once()和require_once()，可以避免重复包含文件，并提供了一定的安全性。

4. 文件权限和访问控制设置文件和目录的权限，确保只有授权的用户可以访问特定文件，限制对敏感文件的访问。

PHP反序列化漏洞详解（魔术⽅法）⽂章⽬录⼀、PHP⾯向对象编程在⾯向对象的程序设计(Object-oriented programming，OOP)中，对象是⼀个由信息及对信息进⾏处理的描述所组成的整体，是对现实世界的抽象。

类是⼀个共享相同结构和⾏为的对象的集合。

每个类的定义都以关键字class开头，后⾯跟着类的名字。

创建⼀个PHP类：<?phpclass TestClass //定义⼀个类{//⼀个变量public $variable = 'This is a string';//⼀个⽅法public function PrintVariable(){echo $this->variable;}}//创建⼀个对象$object = new TestClass();//调⽤⼀个⽅法$object->PrintVariable();>public、protected、privatePHP 对属性或⽅法的访问控制，是通过在前⾯添加关键字 public（公有），protected（受保护）或 private（私有）来实现的。

public（公有）：公有的类成员可以在任何地⽅被访问。

protected（受保护）：受保护的类成员则可以被其⾃⾝以及其⼦类和⽗类访问。

private（私有）：私有的类成员则只能被其定义所在的类访问。

注意：不同修饰符序列化后的值不⼀样访问控制修饰符的不同，序列化后属性的长度和属性值会有所不同，如下所⽰：public：属性被序列化的时候属性值会变成属性名protected：属性被序列化的时候属性值会变成\x00*\x00属性名private：属性被序列化的时候属性值会变成\x00类名\x00属性名其中：\x00表⽰空字符，但是还是占⽤⼀个字符位置魔术⽅法（magic函数）PHP中把以两个下划线__开头的⽅法称为魔术⽅法(Magic methods)类可能会包含⼀些特殊的函数：magic函数，这些函数在某些情况下会⾃动调⽤。

论PHP 常见的漏洞WooYun 知识库首先拿到一份源码 肯定是先install 上。

而在安装文件上又会经常出现问题。

一般的安装文件在安装完成后 基本上都不会自动删除这个安装的文件 我遇到过的会自动删除的好像也就qibocms 了。

其他的基本都是通过生成一个lock 文件 来判断程序是否安装过了 如果存在这个lock 文件了 就会退出了。

这里首先 先来说一下安装文件经常出现的问题。

根本无验证。

这种的虽然不多 但是有时还是会遇到个。

在安装完成后 并不会自动删除文件 又不会生成lock 来判断是否安装过了。

导致了可以直接重装过例子: WooYun: PHPSHE B2C 重装。

安装file因为install 一般都会有step 步骤啥的。

Step 1 check 啥啥 step 2 是安装啥的。

而一些cms 默认step 是1 而step 又是GET 来的 而他check lock 的时候就是在step1里面。

这时候如果我们直接用GET 提交step 2 那么就直接进入下一步了 就没check lock 了。

例如某cms 中的安装文件1 2 3 4 5 6 7 8 9 if (empty ($step)){$step = 1;//当用户没有提交step 的时候 赋值为1}require_once ("includes/inc_install.php");$gototime = 2000;/*------------------------显示协议文件------------------------*/10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 if ($step == 1) //当1才检测lock{if (file_exists('installed.txt')){echo '<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"/></head><body>你已经安装过该系统，如果想重新安装，请先删除install 目录下的 installed.txt 文件，然后再安装。

⽂件包含——本地⽂件包含和远程⽂件包含⽂件包含漏洞的出现及危害⽂件包含漏洞是⼀种最常见的漏洞类型，它会影响依赖于脚本运⾏时的web应⽤程序。

当应⽤程序使⽤攻击者控制的变量构建可执⾏代码的路径时，⽂件包含漏洞会导致攻击者任意控制运⾏时执⾏的⽂件。

如果⼀个⽂件包含这个漏洞，为了⽅便起见，经常在开发阶段就实施。

由于它经常⽤于程序开发阶段，所以这就为后来的攻击埋下了伏笔并导致了各种基于⽂件的攻击。

⽂件包含漏洞主要是程序员把⼀些公⽤的代码写在⼀个单独的⽂件中，然后使⽤其他⽂件进⾏包含调⽤，如果需要包含的⽂件使⽤硬编码，⼀般是不会出现安全问题，但是有时可能不确定需要包含哪些具体⽂件，所以就会采⽤变量的形式来传递需要包含的⽂件，但是在使⽤包含⽂件的过程中，未对包含的变量进⾏检查及过滤，导致外部提交的恶意数据作为变量进⼊到了⽂件包含的过程中，从⽽导致提交的恶意数据被执⾏。

⽂件包含漏洞分为本地⽂件包含(Loacl File Inclusion,LFI)和远程⽂件包含(Remote File Inclusion,RFI)。

这种漏洞貌不惊⼈，却危害很⼤。

通过⽂件包含漏洞，可以读取系统中的敏感⽂件，源代码⽂件等，如密码⽂件，通过对密码⽂件进⾏暴⼒破解。

若破解成功则可获取操作系统的⽤户账户，甚⾄可通过开放的远程连接服务进⾏连接控制。

另外不管是本地⽂件包含还是远程⽂件包含，⽂件包含漏洞还可能导致执⾏任意代码。

本地⽂件包含本地⽂件包含就是通过浏览器包含web服务器上的⽂件，这种漏洞是因为浏览器包含⽂件时没有进⾏严格的过滤允许遍历⽬录的字符注⼊浏览器并执⾏。

⾸先，当值可以直接被控制时，你就会有⼀个⾮常类似的如下的代码⽚段。

<? php $ file = $ _GET ['file']; include ($ file);如果你可以找到上⾯的代码，那么就有⼀个直接包含的$⽂件，你可以控制它。

请注意：该⽂件可以是任何类型，⽆论它是被删除的⽂件类型、图⽚还是任意的内容，都包括在内。