目录

一、导图

二、文件包含漏洞

1.脚本代码

2.原理演示

3.漏洞成因

4.检测方法

5.类型分类

三、本地文件包含漏洞的利用

<无限制本地文件包含>

<有限制本地文件包含>

四、远程文件包含漏洞的利用

<无限制远程文件包含>

<有限制远程文件包含>

五、协议的玩法

<读取文件内容>

<执行代码>

<写入一句话后门木马>

​六、南邮杯CTF实例

​七、i春秋百度杯实例

八、某CMS文件包含漏洞实例

---

一、导图

二、文件包含漏洞

1.脚本代码

        文件包含各个脚本代码。

ASP,ASPX,jsP,PHP等<%@ include file="head.jsp" %>

2.原理演示

        （1）创建一个名为include.php的php文件，文件内的代码如下图所示。

        （2）创建一个名为1.txt的文件，文件内的内容如下图所示。

        （3）直接访问include.php文件，添加filename的参数值为1.txt。可以看到网站成功执行了文件1.txt内的php代码。

        （4）但是如果我们直接访问1.txt文件，网站就只会将其当作一串文本进行输入。而当我们利用了文件包含漏洞进行访问时，网站就会将其当作代码进行执行。

        总结：将指定文件内的内容以网站脚本代码类型进行执行。如：如果网站是php的，就当作php代码进行执行；如果网站是jsp的，就当作jsp代码进行执行；

3.漏洞成因

        （1）可空变量：$filename。

        （2）漏洞函数：include()。

4.检测方法

        （1）白盒检测：代码审计。

        （2）黑盒检测：采用漏洞扫描工具，或者搜素公开漏洞，或者查看网址后面的参数，是否接收的是文件。

5.类型分类

        （1）本地包含：只包含本地的文件。

        （2）远程包含：包含互联网可以访问到的文件，危害更大。

        （3）无限制和有限制：两种包含类型都存在无限制和有限制的两种情况，无限制就是没有限制直接拿来用就可以，有限制是可能会存在一些干扰，需要用到一些特殊的方法进行绕过。

三、本地文件包含漏洞的利用

<无限制本地文件包含>

当我们要进行跨目录的文件包含时，就需要用到“../”符号来向上一级进行跳转了。

比如我们要对下图路径下的www.txt进行文件包含。

我们需要将参数的值设为如下图所示的样式。

<有限制本地文件包含>

这里的代码比上面无限制的代码多了“.html”。

当我们此时再对1.txt文件进行文件包含的时候，就相当于包含了1.txt.html。

那么面对这种情况我们该怎么办呢？下面介绍几种绕过的方法。

第一种：%00截断：此方法要求php版本<5.3.4。

        只需在文件末尾添加“%00”来将后面的“.html”进行截断。

        可以看到下图进行%00截断后成功将文件中的代码进行了执行。 

第二种：长度截断：windows，点号需要长于250；linux，点号需要长于4096。

        这种方法类似与waf绕过过程中的垃圾数据填充的方法。

        利用垃圾数据进行填充，达到对应服务器系统文件命名的最大长度，从而将“.html”挤出，让其无法添加。

        只需在文件末尾添加类似“/./././././././.·····”、“..........·····”等的垃圾数据来将后面的“.html”挤出。

        可以看到下图进行长度截断后成功将文件中的代码进行了执行。 

四、远程文件包含漏洞的利用

        如果代码里面有限制只能包含本地文件的话，就不会造成远程文件包含漏洞。

        如果代码里面没有限制，并且搭建平台上的设置里也没有设置不允许包含远程远程文件的话，就可能造成远程包含文件漏洞。

        在php里就有这样一个开关——allow_url_include。可以通过phpinfo()来查看到。

         如果这个开关是开启状态，就允许地址的远程请求。

<无限制远程文件包含>

首先演示无限制的远程文件包含。

访问如下图所示的url可以看到这个文件内包含这样一串内容。

访问这个远程的文件，可以看到网站对远程文件内的内容进行了执行。

我们将远程文件内的代码修改为一个后门代码。

再次进行访问，可以看到前面的“ni shi gej ib!”成功被执行了，而后面的后门代码却看不到，这是正常现象，此时的后门代码其实已经被执行了，执行效果就是空白的而已。 

使用工具“菜刀”连接后门代码。

打开工具后将地址以及密码进行输入并修改脚本类型为php，然后点击添加。

可以看到成功连接上了后门文件。

<有限制远程文件包含>

这里的代码比上面无限制的代码多了“.html”。

当我们此时再对远程文件进行文件包含的时候，就失败了。

 3.那么面对这种情况我们该怎么办呢？下面介绍几种绕过的方法。

第一种：末尾加%20：

 5. 第二种：末尾加%23：

 6. 第三种：末尾加？：

五、协议的玩法

        优秀文章：https://www.cnblogs.com/endust/p/11804767.html

<读取文件内容>

在参数后输入下面的内容来对1.txt文件进行读取。

读取到的内容是经过base64加密过的（防止乱码），经过解密后即可得到文件内容本来的样子。 

<执行代码>

在参数后输入下面的内容，同时在post部分写入要执行的代码。

<写入一句话后门木马>

在参数后输入下面的内容，同时在post部分写入要执行的代码。

查看网站目录，可以看到“shell.php”后门代码被成功写入了。

六、南邮杯CTF实例

        地址：asdf

打开网站。

点击表述文字。

首先判断其可能存在文件包含漏洞，因为最后参数部分是“file=show.php”，很明显大概率是文件参数。 

因为这里展示的是show.php文件，因此我们想到直接去访问show.php文件，可以看到当我们直接访问show.php时，网站返回的也是同样的内容。

 5.因此我们可以判断出show.php的内容就是text123，放在参数的后面无非就是将其进行包含之后再执行输出，到这里我们就不难判断出这里考的明显就是文件包含漏洞了。

我们首先来判断它的操作系统，将php改为phP然后访问，可以看到网页返回错误，因此判断其是linux操作系统。

 7.因此我们在这里执行linux下的ls命令，可以看到网页返回了下面的内容。

我们换一条命令执行，网页依然返回同样的内容，说明网站对此存在拦截。

 9.这个方法不可行，因此我们想到协议的玩法，想到下面的方法，首先尝试读取index.php，发现读取成功了。

将读取到的内容进行解码。

将解码到的文件放入一个文本文档里进行查看，因为在上面的软件里查看格式不是很清楚。

成功获取到了flag值。

七、i春秋百度杯实例

打开靶场可以看到下面的内容。

阅读页面内给出的代码可以知道它的意思为：如果接收到了path变量，就用include将接收到的值进行包含，否则就执行下面的phpinfo.php。

进行验证一下，发现我们分析的没有问题。

我们首先来包含index.php文件，可以看到成功进行了读取。

 5.判断其操作系统——>linux系统。

采用linux的命令来读取目录。

 7.因为后面的两个文件我们已经读取过了，所以我们来读取第一个文件来查看它的内容。

 8.发现什么也没读取到。

查看网页的源代码，可以看到flag在这里。 

八、某CMS文件包含漏洞实例

打开网站可以看到下面的页面。

 2.那么我们是如何发现这个网站的漏洞的呢？

首先我们知道它是ekucms了，因此我们可以先直接到网上搜索这个cms的漏洞，有我们就直接拿来利用，没有我们就将原码下载下来自己进行分析。 

可以看到确实是存在漏洞的。

找到一篇文章，可以得知它的思路是： 因为这个cms不存在文件上传，所以只能访问网站内的固有文件。但是因为这个cms存在本地文件包含漏洞，所以我们可以将一句话木马写到网站的日志里，然后利用本地文件包含漏洞包含这个日志文件，然后再利用菜刀等工具进行连接即可。

将文章内的url进行复制，然后放到我们的浏览器内修改后进行访问 。

可以看到网页返回了错误信息，但是此时url内容已经被写入到了网站的日志里。 

        解释：为什么这个后门代码代码的两侧不用加""，因为在进行文件包含的时候，回根据网站的脚本类型来执行文件内的内容，而这里网站的脚本类型本身就是php，所以不加""同样也会按照php代码进行执行。

8.该日志是以时间日期命名的，首先访问下面的url来触发后门代码。

 8.添加参数来进行测试，可以看到成功将参数代码进行了执行。

 9.到这里我们基本就可以执行任意的代码了，也就成功拿下了网站的权限。

来源地址：https://blog.csdn.net/weixin_62808713/article/details/129909977