Pikachu-File Inclusion-远程文件包含

最新推荐文章于 2025-08-20 13:45:14 发布

原创

最新推荐文章于 2025-08-20 13:45:14 发布 · 976 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#文件包含漏洞

远程文件包含漏洞

是指能够包含远程服务器上的文件并执行。由于远程服务器的文件是我们可控的，因此漏洞一旦存在，危害性会很大。但远程文件包含漏洞的利用条件较为苛刻；因此，在web应用系统的功能设计上尽量不要让前端用户直接传变量给包含函数，如果非要这么做，也一定要做严格的白名单策略进行过滤。

PHP的需要php.ini中配置

allow_url_fopen=On    // 默认情况下是打开的；
allow_url_include=On  // 默认情况下是关闭的；

开启配置

文件所在位置：

	/etc/php/7.3/apache2/php.ini

修改完成后，

重启容器，

exit         #退出当前容器的/bin/bash
docker ps    #查找当前容器id
docker restart 4e4ccb0e81d2   #重启pikachu容器

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

什么鬼昵称

关注关注

3
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

远程文件包含原理及利用

G3et的博客

01-27

921

远程文件包含漏洞的危害在于，攻击者可以通过包含恶意文件来执行任意代码，从而获取服务器的权限、控制服务器或窃取服务器上的敏感信息。为了防范远程文件包含漏洞，应当使用严格的输入验证和过滤机制，确保只允许包含受信任的文件。我们来复现一下，首先准备一个phpinfo，假设把这个phpinfo放到我们自己的服务器，或者上传一个图片马放在任何可以上传的地方等等，只要能访问就行。由于没有对用户提交的文件名进行任何的安全限制，所以攻击者可以通过提交远程服务器上的文件 URL 来包含并执行远程文件。先来看看正常的一个情况。

【网络安全】本地文件包含及远程文件包含漏洞详解

goldfish8848的博客

08-05

1721

开发人员将需要重复调用的函数写入一个文件，对该文件进行包含时产生的操作。这样编写代码能减少冗余，降低代码后期维护难度。保证网站整体风格统一：导航栏、底部footer栏等，把这些不会变的东西包含在一个文件中，可以保证整体效果的统一和代码量的减少。

参与评论您还未登录，请先登录后发表或查看评论

文件包含（File Inclusion）

IVY20024的博客

08-20

1124

摘要：文件包含是Web开发中常见的代码复用技术，但如果实现不当会导致严重安全漏洞。其原理是通过用户可控的路径参数包含执行文件，分为本地文件包含(LFI)和远程文件包含(RFI)两类。攻击者可通过路径遍历、伪协议利用、日志包含等方式绕过限制，导致信息泄露或代码执行。防御措施包括输入验证白名单、禁用危险配置和代码规范。靶机实验展示了本地文件包含漏洞的实际利用过程。

File Inclusion(文件包含)

raynah的博客

06-30

572

File Inclusion(文件包含漏洞)概述 文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，其可以使开发人员在一个代码文件中直接包含（引入）另外一个代码文件。比如在PHP中，提供了： include(),include_once() require(),require_once() 这些文件包含函数，这些函数在代码设计中被经常使用到。大多数情况下，文件包含函数中包含的代码文件是固定的，因此也不会出现安全问题。但是，有些时候，文...

远程文件包含

Just for fun

10-20

2514

远程文件包含（Remote File Inclusion），简称RFI，与其对应的是本地文件包含（Local File Inclusion，LFI），它们都是通过PHP的包含函数即：require(),require_once(),include()和include_once()来使用。一般情况下，用户通过包含函数将具有特定功能的函数或类包含到当前脚本中，是没有什么问题的。但是有时候，为...

PiKachu-File Inclusion(文件包含漏洞)

m0_49025459的博客

04-22

1024

概述 File Inclusion(文件包含漏洞)概述 文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，其可以使开发人员在一个代码文件中直接包含（引入）另外一个代码文件。比如在PHP中，提供了： include(),include_once() require(),require_once() 这些文件包含函数，这些函数在代码设计中被经常使用到。大多数情况下，文件包含函数中包含的代码文件是固定的，因此也不会出现安全问题。但是，有些时候，文件包含的代码文件被写成了一个变量，且这个

Pikachu靶场-File Inclusion

sucker的博客

04-24

1069

文件包含漏洞（File Inclusion Vulnerability）是Web应用程序中的一种常见安全漏洞，通常由于开发者未对用户输入进行严格过滤，导致攻击者能够包含并执行恶意文件。，攻击者准备恶意文件，在攻击机（192.168.23.182）上创建包含恶意代码的文本文件（如。攻击者通过篡改参数，包含服务器本地的敏感文件（如配置文件、日志文件等）。1，观察网站，提供了一个选择框，运行用户根据名字选择提交查询。1，观察网站，提供了一个选择框，运行用户根据名字选择提交查询。

pikachu-File Inclusion

ZhuoLLLLLL的博客

12-29

1273

通过这次漏洞的作业，我了解到了文件上传漏洞的一些相关知识，又更熟悉了一遍bp，一句话木马的上传，蚁键的连接包括在远程包含漏洞中，攻击者可以通过访问外部地址来加载远程的代码等。

Pikachu靶场通关笔记--File Inclusion(文件包含漏洞)

weixin_45908624的博客

12-13

1045

文件包含漏洞

远程执行文件包含

weixin_30347335的博客

01-08

339

<?php fputs(fopen("x.php","w"),"<?php @eval(\$_POST['x']);?>");?> 写入日志文件 chmod 777 /var/log/httpd nc xxx 80 <?php echo shell_exec($_GET['cmd']);?> cat /var/log/httpd...

html 远程包含,文件包含之远程文件包含

weixin_35042546的博客

06-23

422

远程文件包含漏洞想要彻底防御，可以在服务器上的 php.ini 文件中将 allow_url_fopen 选项a把 on 改为 offowasp的文件路径为/etc/php5/cli/php.ini(各系统会根据安装路径出现异同)远程文件包含漏洞利用的思路是自己搭建一个服务器，将文件放在自己搭建的服务器内，远程包含即可这里使用apache；开启服务我们在网站的主目录下建立一个文件，webshell...

【CTF Web】Pikachu 远程文件包含 Writeup（文件包含漏洞+GET请求）

HEX9CF的技术博客

10-08

1151

文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，其可以使开发人员在一个代码文件中直接包含（引入）另外一个代码文件。比如在PHP中，提供了：这些文件包含函数，这些函数在代码设计中被经常使用到。大多数情况下，文件包含函数中包含的代码文件是固定的，因此也不会出现安全问题。但是，有些时候，文件包含的代码文件被写成了一个变量，且这个变量可以由前端用户传进来，这种情况下，如果没有做足够的安全考虑，则可能会引发文件包含漏洞。

远程文件包含漏洞

Ethan024的博客

04-08

891

什么是远程文件包含漏洞：攻击者可以通过访问外部地址来加载远程代码。实验环境：皮卡丘靶场—File Inclusion(remote) (tips: 如果使用include和require，需在php.ini文件配置如下：allow_url_fopen = on //默认打开 allow_url_include = on //默认关闭) 实验步骤：正常提交请求：此时的url提交的内容为当前目标文件路径： http://localhost/pikaqiu.cn/vul/fileinclude/f

文件包含漏洞详解