不安全的文件包含漏洞与防护（进阶篇） 描述 文件包含漏洞分为本地文件包含（LFI）和远程文件包含（RFI），通常因应用程序动态包含文件时未严格验证用户输入导致。进阶篇聚焦于利用技巧的深化（如日志注入、PHP封装协议、条件竞争）和复杂场景的防护方案。 解题过程 漏洞原理深化 动态包含机制：PHP的 include 、 require 等函数若直接使用未过滤的输入（如 $_GET['page'] ），攻击者可操纵路径。 关键风险：LFI可读取敏感文件（如 /etc/passwd ），RFI可远程执行恶意代码（如包含恶意服务器上的 shell.txt ）。 高级利用技巧 日志文件注入 ： 步骤1：确认Web服务器日志路径（如Apache的 /var/log/apache2/access.log ）。 步骤2：通过User-Agent或URL参数注入PHP代码（如 <?php system($_GET['cmd']);?> ）。 步骤3：包含日志文件（如 include=/var/log/apache2/access.log ），触发代码执行。 PHP封装协议利用 ： php://filter ：读取源码（如 php://filter/convert.base64-encode/resource=index.php ），避免代码直接执行。 php://input ：通过POST请求传递PHP代码（需允许 allow_url_include=On ）。 条件竞争攻击 ： 场景：应用先上传临时文件再包含，但未校验文件类型。 步骤1：持续上传恶意文件（如伪装为图片的PHP脚本）。 步骤2：多线程并发请求包含临时文件路径，争取在删除前执行。 复杂场景防护 输入验证强化 ： 白名单机制：仅允许预定义文件名（如 ['home.php','about.php'] ），拒绝动态路径。 路径规范化：使用 realpath() 解析完整路径，禁止包含符号链接（如 /proc/self/environ ）。 环境加固 ： 关闭危险配置：PHP中设置 allow_url_include=Off 、 allow_url_fopen=Off 。 文件权限隔离：Web服务器用户无权访问系统日志或配置文件。 运行时防护 ： 文件签名校验：对包含文件计算哈希值，匹配可信来源。 沙箱机制：使用Docker或安全模块（如Suhosin）限制文件系统访问范围。 安全开发实践 代码审计：自动化工具（如SonarQube）结合人工审查动态包含函数。 单元测试：模拟路径遍历（如 ../../../etc/passwd ）验证防护有效性。