PHP是目前非常流行的Web开发语言，但是在利用PHP开发Web应用时，如果稍有不注意，就会产生PHP文件包含漏洞。PHP文件包含漏洞是一种常见的漏洞，而通过PHP文件包含漏洞入侵网站，甚至拿到网站的WebShell的案例也是不胜枚举。本期美创安全实验室将带大家了解PHP文件包含漏洞的产生原因和漏洞原理。

漏洞简介

文件包含漏洞（File Inclusion）是一种常见的依赖于脚本运行从而影响Web应用的漏洞。严格来说，文件包含漏洞是“代码注入”的一种，许多脚本语言，例如PHP、JSP、ASP、．NET等，都提供了一种包含文件的功能，这种功能允许开发者将可使用的脚本代码插入到单个文件中保存，在需要调用的时候可以直接通过载入文件的方式执行里面的代码，但是如果攻击者控制了可执行代码的路径，也就是文件位置时，攻击者可以修改指定路径，将其指向一个包含了恶意代码的恶意文件。

文件包含漏洞通常都会使Web服务器的文件被外界浏览导入信息泄露，执行的恶意脚本会导致网站被篡改，执行非法操作，攻击其他网站，获取WebShell等严重危害。

漏洞产生原理

在上一节的描述中我们提到，攻击者通过控制可执行代码的路径就可以实现文件包含漏洞，这只是一个对整体攻击流程的简化描述，在实际情境下，服务器解析执行php文件时通过包含函数可以加载另一个文件中的php代码，当被包含的文件中存在木马时，就意味着木马程序会在服务器上加载执行。

所以产生文件包含漏洞的根本原因在于开发者是否对通过包含函数加载的文件进行了严格且合理的校验，在PHP中总共有四种文件包含函数：

1）Include（）：包含并运行指定的文件，只有在程序执行到include时才包含文件，且当包含文件发生错误时，程序警告，但会继续执行。

2）Require（）：只要程序一运行就会执行该包含文件函数，当包含文件发生错误时，程序直接终止执行。

3）Include＿once（）：和include（）类似，不同之处在于include＿once会检查这个文件是否已经被导入，如果已导入、下文便不会再导入。

4）Require＿once（）：和require（）类似，不同处在于require＿once也是与include＿once一样只导入一次。

根据被包含文件的位置不同，PHP文件包含漏洞可以分为本地文件包含漏洞（Local File Inclusion，LFI），和远程文件包含漏洞（Remote File Inclusion，RFI）。顾名思义，所谓的本地文件包含漏洞指的是攻击者通过控制包含文件函数，如include（），require（）等，加载服务器本地上的PHP脚本文件，当然如果本地的PHP脚本文件都是一些对系统无害的功能性文件，攻击者也无法进行进一步的利用，但若是攻击者能够配合任意文件上传漏洞，将恶意文件上传进服务器中，再通过本地文件包含执行该恶意脚本就可以达到获得网站控制权的目的。

而远程文件包含漏洞是指攻击者可以通过文件包含函数加载其他服务器上的PHP文件，在实际项渗透目中，攻击者可以在自己的服务器上存放一个可执行的恶意文件，然后通过目标网站存在远程文件包含漏洞来加载相关文件，实现任意命令执行。

漏洞复现

1、PHP本地文件包含漏洞获取服务器敏感信息

搭建测试环境，为了方便演示，我们简单设计了一个服务器上的PHP脚本代码，如下：

其中PHP配置文件中，allow＿url＿fopen和allow＿url＿include两个参数默认是ON的状态。（在本地文件包含漏洞中，allow＿url＿fopen必须是ON的状态allow＿url＿include的状态可以不用必须指定。）

通过访问该资源，可以判断使用了文件包含函数。

服务器直接将file参数当作文件包含的参数路径，并未做任何过滤，攻击者可以直接在file参数后面填写服务器敏感文件路径，从而获得服务器敏感信息，例如在file后加上．．／．．／MYSQL／my．ini即可读取到服务器本地的Mysql配置文件。