本文授权自 MagicBoy

Learn file include vulnerability | Network security

• 1.文件包含漏洞条件
• 2.文件包含漏洞分类
• • 2.1. 本地文件包含(LFI)
  • 2.2. 远程文件包含(RFI)

1.文件包含漏洞条件

开发者在开发过程中，会将可以重复利用的函数或代码块写入到单个文件当中，在使用某些函数时，直接调用对应即可，无需再次编写，这种调用文件的过程称之为文件包含

1. 包含文件时采用动态包含的方式
2. 对于包含的文件没有做详细的过滤和检验

PHP文件包含函数：include()、 include_once()、 require()、 require_once()、 fopen()、 readfile()

通过以上函数包含文件，无论文件后缀是什么，都会以php的方式进行解析

其它语言的文件包含：

1. jsP文件包含函数：java.io.file()、java.io.filereader()、include()，动态包含只支持包含WEB路径下的jsp文件
2. aspx文件包含函数：include file、include virtual，aspx和asp均不支持动态包含

2.文件包含漏洞分类

2.1. 本地文件包含(LFI)

包含文件和页面文件如果不在同一目录，包含的路径必须写相对路径或者绝对路径

被包含的文件的后缀无论是是什么都被被视作为PHP进行解析

本地包含任意文件 ../、 ..\

追加后缀：%00截断，受限于php的版本

追加前缀：在文件路径前多一次跳转

包含日志文件，然后在User-Agent等地方上传一句话：

• /var/log/apache2/access.log
• /var/log/Httpd/access.log
• /var/log/Nginx/access.log

2.2. 远程文件包含(RFI)

代码注入的一种，通过包含的方式远程注入一段用户可控的脚本在服务端执行

远程注入前提条件：

• allow_url_fopen ON
• allow_url_include ON
• 包含的变量前没有目录的限制
• 远程包含文件路径必须为绝对路径
• 被包含的文件能被服务器解析

临时启动http服务–python

python3 -m http.server 8000Python2 -m Simplehttpserver 8000

伪协议利用：

http://     //远程文件包含，python启用服务ftp://php://filter/read=convert.base64-encode/resource=file:///ect/passwdphp://inputphar://压缩包路径/文件名称zip://压缩包路径#文件名称    //记住#可能需要转码为%23data://text/plain,<?php phpinfo();?>data://text/plain;base64,PD9waHAGC3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=

日志路径为常见路径/var/log/apache2/access.log，注意日志文件包含

如有侵权，请联系作者删除

来源地址：https://blog.csdn.net/weixin_44340129/article/details/129907944