• 定义：在通过PHP的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，导致意外的文件泄露甚至恶意的代码注入。
• 什么是文件包含
  程序开发人员通常会把可重复使用的函数写到单个文件中，在使用某些函数时，直接调用此文件，而无须再次编写，这种调用文件的过程一般被称为包含
• 文件包含漏洞的缘由
  程序开发人员都希望代码更加灵活，所以通常会将被包含的文件设置为变量，用来进行动态调用，但正是由于这种灵活性，从而导致客户端可以调用一个恶意文件，造成文件包含漏洞。
  文件包含漏洞在PHP Web Application中居多，而在JSP,ASP,ASP.NET程序中却非常少，甚至没有包含漏洞的存在。
• 函数
  include(),require()和include_once(),require_once()

文件包含漏洞分为本地文件漏洞和远程文件包含漏洞
本地文件包含（利用流程）

上传图片（含有php代码的图片）
读文件，读php文件
包含日志文件getshell
包含/proc/self/envion文件getshell
如果有phpinfo可以包含临时文件
包含data://或php://input等伪协议（需要allow_url_include=On

• 这里演示下本地文件包含漏洞
  我先打开本地搭的php环境

  
  
  001.PNG
  
  

  这里我写的index.php里就用到文件包含（我用的是include（）函数）
  下面是我用文件包含漏洞读取的文件

  
  
  002.PNG

003.PNG

这里还可以查看源码

004.PNG

005.PNG

我们可以用文件包含漏洞去读取自己上传的木马拿下webshell

• 在有些情况下，站点对上传图片进行二次渲染等等一些其他处理，导致我们
  无法上传图片马至目标服务器时。这个时候需要通过包含 Apache 日志文件来
  获取 webshell。
  Apache 运行之后默认会生成两个日志文件，一个是访问日志 access.log，
  另一个是错误日志 error.log。我们在请求站点文件时，Apache 会记录下来我们
  的操作，并且写入到 access.log 中
  由于url转码 ，你请求的url（http://127.0.0.1?=<?php phpinfo(); ?>）会被转码
  （<>转码成%3c 和 %3e）这时要用burp suite抓包把（<>）改回来，然后访问apache日志就能让木马运行。
  敏感信息

/root/.ssh/authorized_keys 
/root/.ssh/id_rsa 
/root/.ssh/id_rsa.keystore 
/root/.ssh/id_rsa.pub 
/root/.ssh/known_hosts 
/etc/shadow 
/root/.bash_history 
/root/.mysql_history
/proc/self/fd/fd[0-9]* (文件标识符) 
/proc/mounts
/proc/config.gz   等

文件包含代码

<?php
if(isset($_GET['f']))
{
    include $_GET['f'];
} 
else
{
    include "show.php";
}
?>

这就是我上面演示用代码（由于对参数‘f’没有过滤，所以可以通过url读取我电脑上的任意文件）

• 远程文件包含漏洞
  包含的文件不在自己本地而在第三方服务器上
  远程文件包含漏洞条件php.ini配置文件中两个配置要开启

allow_url_fopen     on
allow_url_include   on

• 修复方案
  php.ini 中open_basedir 限制访问在指定区域
  过滤. /
  禁止服务器远程文件包含