文件包含。

文件包含概述

和SQL注入等攻击方式一样，文件包含漏洞也是一种“注入型漏洞”，其本质就是输入一段用户能够控制的脚本或者代码，并让服务器端执行。

什么叫包含呢？以PHP为例，我们常常把可重复使用的函数写入到单个文件中，在使用该函数时，直接调用此文件，而无需再次编写函数，这一过程就叫做包含。

有时候由于网站功能需求，会让前端用户选择要包含的文件，而开发人员又没有对要包含的文件进行安全考虑，就导致攻击者可以通过修改文件的位置来让后台执行任意文件，从而导致文件包含漏洞。

以PHP为例，常用的文件包含函数有以下四种：

include()，require()，include_once()，require_once()

区别如下：

require()，找不到被包含的文件时会产生致命错误，并停止脚本运行。
include()，找不到被包含的文件时只会产生警告，脚本将继续运行。
include_once()与include()类似，唯一区别是如果该文件中的代码已经被包含，则不会再次包含。
require_once()与require()类似，唯一区别是如果该文件中的代码已经被包含，则不会再次包含。
 

一、文件包含的定义
        如果说使用文件包含的路径是攻击者可控的话，此时，我们可以通过控制参数变量从而能包含本不在开发者意愿之内的文件。

        本地文件包含：包含服务器端的文件

        远程文件包含：包含远程url的文件 （allow_url_fopen allow_url_include）

        可以用什么去截断：？ #(%23)

二、文件包含的利用
        1.配合文件上传漏洞执行getshell

        2.包含日志getshell

        3.包含session getshell

        4.读取配置文件

三、PHP中常见包含文件函数
        include（）：当使用该函数包含文件时，只有代码执行到include()函数时才将文件包含进来，发生错误时，给出告警继续向下执行。

        include_once():相同，区别是当重复调用同一文件时，程序只调用一次。

        require():include和require的区别；当处理一个不存在或者无法包含的文件时，对于include会抛出错误，继续执行下面代码，require会抛出致命错误。

        require_once:相同，区别是当重复调用同一文件时，程序只调用一次。

include和require的区别；当处理一个不存在或者无法包含的文件时，对于include会抛出错误，继续执行下面代码，require会抛出致命错误

四、data:text/plain
条件：allow_url_fopen参数与allow_url_include都需要开启

用法1：?file=data:text/plain，<?php执行的内容?>

用法2：?file=data:text/plain，base64,编码后的php代码

注意base64加密后的代码，不能够有+，否则会和url中额+编码冲突

五、php://filter
利用条件：

只是读取，所以只需要开启allow_url_fopen

实现效果：

将文件中的数据进行base64加密之后在输出

index.php?file=php://filter/read=convert.base64-encode/resource=123.cn

六、zip://伪协议
        使用zip伪协议，需要将#编码为%23，所以需要php版本>=5.3.0,要是因为版本的问题无法将#编码成%23，可手动。

用法：?file=zip://[压缩文件路径+压缩文件名]#[压缩文件内的子文件名]

        file=zip://./1.zip%231.txt

        file=zip://C:\phpStudy\WWW\haha\1.zip%231.txt

        找到文件包含点，与后缀无关。

七、file伪协议
        file://可以用来访问本地系统，且不受allow_url_fopen参数与allow_url_include的影响。

 用法：  ?file=file://文件绝对路径 ?file=../../../../../../../../../flag +绕过截断

八、session包含：
        1 得知道session的存储位置

        2 有可控的session点

        3 有文件包含点