文件包含漏洞(LFI、RFI)(require()、include()函数)

最新推荐文章于 2025-10-08 15:16:02 发布
原创 最新推荐文章于 2025-10-08 15:16:02 发布 · 7.4k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#文件包含漏洞 #LFI #PHP #require #include

本文深入讲解文件包含漏洞的分类及原理,介绍PHP中文件包含函数的使用方法,并提供测试LFI漏洞的方法。同时,通过实战案例展示如何利用文件包含漏洞获取敏感信息。

文章目录

一、文件包含漏洞分类

LFI(Local File Inclusion)
本地文件包含漏洞,指的是能打开并包含本地文件的漏洞。大部分情况下遇到的文件包含漏洞都是LFI。
为了方便本文把LFI直接称为文件包含漏洞。

RFI(Remote File Inclusion)
远程文件包含漏洞。是指能够包含远程服务器上的文件并执行。由于远程服务器的文件是我们可控的,因此漏洞一旦存在危害性会很大。但RFI的利用条件较为苛刻,需要php.ini中进行配置

allow_url_fopen = On
allow_url_include = On

两个配置选项均需要为On,才能远程包含文件成功。
在php.ini中,allow_url_fopen默认一直是On,而allow_url_include从php5.2之后就默认为Off。

二、文件包含漏洞原理

本地文件包含(Local File Inclusion)漏洞,是程序员在网站设计中,为方便自己在设计构架时,使用了一些包含的函数,在文件中包含一个文件。

服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。

这意味着可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,只更新一个包含文件就可以了,或者当向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)。

LFI 产生的原因是由于程序员未对用户可控变量进行输入检查,此漏洞的影响可能导致泄露服务器上的敏感文件等。
如若攻击者能够通过其他方式在Web服务器上放置代码,那么他们便可以执行任意命令

 Directory traversal attack is also called a Local File Inclusion or LFI.

翻译:目录遍历攻击也称为本地文件包含攻击LFI

三、文件包含函数

PHP中文件包含函数有以下四种:


                

                
                
        

    



  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
Web安全—文件包含漏洞RFI&LFI

				
			

			

				

					weixin_44431280的博客
				

				

					02-25
					
					2093
					
				

			

		

		

			
				
文件包含函数RFI&LFI)
ASP和JSP只能实现本地文件包含PHP既可以本地文件包含也可以远程文件包含
文件包含漏洞简介:
在日常的应用开发中,开发者会将常用的功能模块单独实现,然后通过inclue()等常见函数去单独调用对应功能的文件代码,如果此时文件包含被设置为了一个变量且未对输入的值进行过滤,攻击者恶意输入就会导致文件包含漏洞发生。
文件包含漏洞原理:
文件包含函数的值被定义为一个变量,可控制的函数变量值和恶意输入导致文件包含漏洞产生,不管什么扩展名的文件,只要被文件函数引用。
文件包

			
		

	



                

            
              



	

		

			

				
					
小白从0学习ctf(web安全)

				
			

			

				

					zyh1588的博客
				

				

					03-30
					
					2022
					
				

			

		

		

			
				
小白从0学习ctf(web安全-文件包含漏洞1)

			
		

	



              


  
              

                


	

		

			

				
					
第三方网站测评:【WEB应用文件包含漏洞LFI/RFI)的测试步骤】

				
			

			

				

					卓码软件测评的博客
				

				

					09-04
					
					622
					
				

			

		

		

			
				
摘要:文件包含漏洞分本地(LFI)和远程(RFI)两类,常见于PHP应用中未过滤用户输入的include()函数。检测特征包括参数含file/path等关键词、文件路径格式或目录遍历符号。测试方法包括:利用空字节截断、PHP包装器读取源码、日志注入和编码绕过。RFI测试需确认服务器配置允许远程包含。防护措施应检查特殊字符过滤、白名单机制、扩展名限制及关闭allow_url_include配置。

			
		

	





	

		

			

				
					
ctf.bugku-baby lfi

				
			

			

				

					guanrongl的专栏
				

				

					10-13
					
					992
					
				

			

		

		

			
				
include some critical file why not/etc/passwd - 包含一些关键文件,为什么不尝试下/etc/passwd 呢?/etc/passwd是Unix和Linux系统中存储用户账户信息的文件,通常包含用户名、密码(加密)、用户ID、组ID等信息。Please Select a language of your choice: en/fr - 可以选择一种语言,英语(en)或者法语(fr)这只是个举例,回到一开始的提示,为什么不能是 etc/passwd;

			
		

	



		

			
		



	

		

			

				
					
008_Web安全攻防实战:本地文件包含LFI漏洞深度分析与利用指南

					
最新发布

				
			

			

				

					欢迎来到智能安全前线!这里是AI与信息安全交汇之地。我们以代码为武器,深入大模型攻防实战,破解系统漏洞。追踪OpenAI、Meta前沿动态,用红蓝对抗思维,锻造智能时代的坚盾与利矛。
				

				

					10-08
					
					952
					
				

			

		

		

			
				
本地文件包含(Local File Inclusion,简称LFI)是一种常见的Web应用程序漏洞,它允许攻击者通过操纵文件路径参数来读取或执行Web服务器上的敏感文件。与远程文件包含RFI)不同,LFI仅涉及服务器本地的文件,这使得它在没有外部连接的环境中仍然具有危害性。2025年最新的Web安全报告显示,LFI漏洞仍然是影响Web应用程序安全的主要问题之一,尤其在内容管理系统和自定义Web应用中频繁出现。

			
		

	





	

		

			

				
					
[HXPCTF 2021]includer‘s revenge

				
			

			

				

					rev1ve的博客
				

				

					11-12
					
					831
					
				

			

		

		

			
				
这种情况下我们还是可以在对应的 /proc/PID/fd 下找到我们删除的文件 ,虽然显示是被删除了,但是我们依然可以读取到文件内容,所以我们可以直接用php 进行文件包含。但是最后一个问题就是,既然我们要去包含 Nginx 进程下的文件,我们就需要知道对应的 pid 以及 fd 下具体的文件名,怎么才能获取到这些信息呢?这时我们就需要用到文件读取进行获取 proc 目录下的其他文件了,这里我们只需要本地搭个 Nginx 进程并启动,对比其进程的 proc 目录文件与其他进程文件区别就可以了。

			
		

	





	

		

			

				
					
攻防_漏洞_文件包含_文件包含漏洞详解

				
			

			

				

					redglare的博客
				

				

					10-22
					
					4344
					
				

			

		

		

			
				
文件包含漏洞详解

			
		

	





	

		

			

				
					
文件包含漏洞

				
			

			

				

					CXC8066的博客
				

				

					09-05
					
					360
					
				

			

		

		

			
				
1、原理及危害
文件包含漏洞:即file inclusion,意思是文件包含,是指当服务器开启allow_url_include选项时,就可以通过PHP的某些特性函数include()require()include_once(),requir_once())利用URL去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文...

			
		

	





	

		

			

				
					
Web漏洞文件包含漏洞

				
			

			

				

					小赵同学的博客
				

				

					06-29
					
					1140
					
				

			

		

		

			
				
为了使代码更加灵活,通常会将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞

			
		

	





	

		

			

				
					
Remote & Local File Inclusion (RFI/LFI)-文件包含漏洞

				
			

			

				

					seanyang_的博客
				

				

					10-26
					
					830
					
				

			

		

		

			
				
文件包含攻击,是指攻击者利用文件包含函数的参数引入文件,而Web应用又没有对该参数进行严格的过滤,导致引入文件中的恶意脚本或代码被解析、执行,攻击者获取服务器信息,甚至获取服务器权限。在PHP开发的Web应用中,脚本、图片、文本文档等被文件包含后,都会作为PHP脚本来解析。

			
		

	





	

		

			

				
					
文件包含漏洞(File Inclusion)

				
			

			

				

					diaomuxun8392的博客
				

				

					08-21
					
					456
					
				

			

		

		

			
				
简介
执行PHP文件时,可以通过文件包含函数加载另一个文件,当服务器开启allow_url_include选项时,就可以通过php的某些特性函数,利用url去动态包含文件并解析执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页...

			
		

	





	

		

			

				
					
PHP文件包含漏洞利用与防护技巧

				
			

			

				

					
				

			

		

		

			
				
如果这两个选项被激活,攻击者可以利用文件包含函数包含远程URL上的代码,进而执行恶意代码。利用远程包含漏洞的一个典型方式是通过PHP的wrapper "phar://", 该wrapper允许从一个phar文件中读取数据。攻击者可以上传...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 2

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
通信与商务

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值