文件包含漏洞原理解析_1 | 学习笔记

开发者学堂课程【网络安全攻防 - Web渗透测试：文件包含漏洞原理解析_1】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/630/detail/9901

文件包含漏洞原理解析_1

目录：

一、回顾

二、File Inclusion 文件包含

三、什么叫文件包含？

四、通过画图演示

一、回顾

文件上传是指开发人员对上传文件没有进行严格的检测，而导致上传的一句话木马文件产生问题。

最有效的防御措施一种是在代码层面加强对上传文件类型的检测；第二种是在前面通过 web 应用防火墙，对有特征信息的文件进行拦截，如果真的中招，可以尝试从网站文件中过滤，过滤关键字应用到 fgrap，没有源字符，一切都是常规字符。

二、File Inclusion 文件包含

打开 web Application 靶机，刚进来的时候默认级别是低安全级别，安全级别并不针对某一个项目，如果一旦将安全级别调节为中安全级别，那么以上所有项目漏洞都处于中安全级别。

这个页面中有一个传类的参数即 page，通过 page 传了一个参数名/参数值，将一个叫 include.php 文件给包含进来，换句话说整个界面，通过 page 将另外一个文件包含进来。

这个文件在什么地方呢？

他并没有写路径，可以查询前面的地址，进入到 var/www/dvwa/地址找到所包含的文件。

Page 可以传递参数，既可以传递 include.php 文件也可以传递其他文件，任何文件都可以。

包含文件并不是访问文件，而是将其中的代码，包含进现在的页面中。被包含文件在现页面中被运行。

etc/shadow 包含不进来是因为没有读取权限。

三、什么叫文件包含？

文件上传不是漏洞，本身合情合理，但是没有检测，导致用户上传恶意文件叫漏洞。

同理文件包含也不是漏洞，通过演示可文件包含也是正常的。

四、通过画图演示：

主程序 index.php 里面有很多代码，在开发时用过函数包含头文件 include，这样做是因为这个程序要实现的功能可能已经封装在某个文件中，

例如，这个页面需要实现 ABCD 等功能，但是需要在多个界面共同显示，不可能在每一个页面都去写所有功能代码，所以代码的实现类似于函数，函数不同主要是在当前程序里面写代码，将所需功能写在一个文件中，最后使用函数将其包含进来。类似于 c 的 include 各种头文件。

文件包含行为是正常的，不可能将所有代码都写在一个文件中 ，这样会产生很多问题：

1. 内容复杂且冗长

2. 在开发另外一个页面再需要这个功能的时候需要重复编码

举例：

一个命为 f.php 文件被包含形式为 include f.php

文件包含这个行为是正常的，不仅程序上的包含，配置文件的时候也喜欢用包含。  

每一个 serve 专门弄一个子配置文件，方便后期管理。文件包含不止是在程序层面，包括在配置某一项服务的时候，同一样使用了包含这种机制。

但是如果没有用心写，例如：include * php

本意是想将f.php包含进来，但是由于写的是*，就有可能将一些恶意文件包含进来，例如/etc/passwd，c.jpg 等。

在现实中，可能只需要 f.php、g.php，但由于开发人员的疏忽会引入其他文件是违规的。无论是什么格式，我们都可以将一句话木马放进去，我们需要的里面的代码以及内容恶意图片。

如果包含图片，这个图片带有恶意木马，在执行 index.php.的时候会连同图片中的恶意代码一起执行。

这些文件有些写了路径，有些并没有写明路径，那么有路径的就是该路径，没有路径则为相对路径和他在同一个地方。

在我们执行网页的时候这四个文件都和 index.php 处于同一目录下

/etc/passwd 在系统的 etc/passwd 这个位置并不和上方处于同一目录下。

虽然路径不同，但无论是 f.php、g.php 还是 etc/passwd,c.jpg 都有一个共同点，所包含的文件都在同一服务器上本地文件包含 LFI

如果有一台机器-网站服务器：

web _server，网站下有一个文件 c.jpg ，u.php 那么包含路径就会发生改变为：page=http://web _serve/c.jpg,所以叫做远程文件包含 RFI

总结：

用图片理,文件包含本身是正常的，绿色部分是我们想要的，是合情合理的，左边红色和黄色是不想要的，但由于开发人员在开发程序中，并没有明确想要包含的文件，用到了*等，就会包含到其他文件。

远程文件更容易包含一些，并不是开发人员主动上传病毒，而是他人主动访问文件上传的恶意木马。

文件包含和文件上传并不相同

文件上传是对上传的文件类型没有检测，文件包含是指对所包含的代码文件没有检测。

如果允许我们包含图片，可以利用图片生成木马，在图片中执行并生成 webshell，图片本身并不是一句话木马，而是为了把图片执行，让里面的代码执行，执行的内一刻生成木马。