开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

PHP中的本地文件包含

（Local File Inclusion，简称LFI）是一种安全漏洞，它允许攻击者通过在URL或用户输入中注入恶意文件路径，从而导致服务器加载并执行攻击者指定的本地文件。

LFI漏洞通常发生在PHP应用程序中，其中开发者使用了不安全的文件包含函数（如include()、require()、include_once()、require_once()）来加载文件。攻击者可以通过构造特定的请求，将恶意文件路径作为参数传递给这些函数，从而导致服务器加载并执行攻击者指定的文件。

LFI漏洞的危害包括但不限于以下几点：

读取敏感文件：攻击者可以读取服务器上的敏感文件，如配置文件、密码文件等，进一步获取系统权限。
执行任意代码：攻击者可以通过加载恶意文件，执行任意的PHP代码，从而控制服务器。
网站篡改：攻击者可以加载恶意文件，修改网站内容，包括插入恶意脚本、篡改页面等。

为了防止LFI漏洞，开发者应该采取以下措施：

输入验证和过滤：对于用户输入的文件路径参数，应该进行严格的输入验证和过滤，只允许合法的文件路径被加载。
白名单机制：限制文件包含函数只能加载特定目录下的文件，使用白名单机制可以有效防止恶意文件的加载。
文件路径加密：对于敏感文件路径，可以进行加密处理，防止攻击者直接获取到真实路径。
安全配置：禁用不必要的文件包含函数，限制PHP的文件包含功能，避免不必要的风险。

腾讯云提供了一系列产品和服务来帮助用户保护应用程序免受LFI漏洞的攻击，例如：

腾讯云Web应用防火墙（WAF）：提供了LFI漏洞的防护规则，可以实时监控和拦截恶意请求。
腾讯云安全组：可以配置网络访问控制策略，限制对服务器的访问，减少攻击面。
腾讯云云服务器（CVM）：提供了安全加固的操作系统镜像，内置了安全配置和防护机制，减少LFI漏洞的风险。

更多关于腾讯云安全产品和服务的信息，可以访问腾讯云官方网站：https://cloud.tencent.com/product/security

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

[PiKaChu靶场通关]文件包含file include

文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，其可以使开发人员在一个代码文件中直接包含（引入）另外一个代码文件。比如在PHP中，提供了： include(),include_once() require(),require_once() 这些文件包含函数，这些函数在代码设计中被经常使用到。

01

文件包含漏洞

http://vulnerable/fileincl/example1.php?page=intro.php（该php文件包含LFI本地文件上传漏洞)

01

文件包含、PHP伪协议

当使用include()函数包含文件时，只有代码执行到 include() 函数时才将文件包含进来，发生错误时只给出一个警告，继续向下执行。

02

CTF实战12 任意文件包含漏洞

该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试，请勿用于其他非法用途，如用作其他非法用途与本文作者无关

03

PHP文件包含漏洞原理分析|美创安全实验室

PHP是目前非常流行的Web开发语言，但是在利用PHP开发Web应用时，如果稍有不注意，就会产生PHP文件包含漏洞。PHP文件包含漏洞是一种常见的漏洞，而通过PHP文件包含漏洞入侵网站，甚至拿到网站的WebShell的案例也是不胜枚举。本期美创安全实验室将带大家了解PHP文件包含漏洞的产生原因和漏洞原理。

03

漏洞讲解之文件包含

通过函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，导致意外的文件泄露甚至恶意的代码注入。

02

PHP文件包含漏洞攻防实战（allow_url_fopen、open_basedir）

PHP是一种非常流行的Web开发语言，互联网上的许多Web应用都是利用PHP开发的。而在利用PHP开发的Web应用中，PHP文件包含漏洞是一种常见的漏洞。利用PHP文件包含漏洞入侵网站也是主流的一种攻击手段。本文对PHP文件包含漏洞的形成、利用技巧及防范进行了详细的分析，并通过一个真实案例演示了如何利用PHP文件包含漏洞对目标网站进行渗透测试，最终成功获取到网站的WebShell。

02

DVWA靶机练习之File Inclusion

这是 DVWA 靶场练习系列的第五篇，这次的内容是文件包含漏洞，即服务器通过 php 的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件，而我们可以构造这个恶意文件来达到邪恶的目的。

01

任意文件包含漏洞原理解析及演示

本文转自行云博客https://www.xy586.top/ 文章目录原理分类 PHP文件包含的函数伪协议演示 php://input 伪协议 data://text/plain 伪协议 zip:// 伪协议原理文件包含漏洞：即file inclusion，意思是文件包含，是指当服务器开启allow_url_include选项时，就可以通过PHP的某些特性函数（include()，require()和include_once()，requir_once()）利用URL去动态包含文件，此时

01

【文件包含】文件包含漏洞知识总结v1.0

和SQL注入等攻击方式一样，文件包含漏洞也是一种“注入型漏洞”，其本质就是输入一段用户能够控制的脚本或者代码，并让服务器端执行。

02

文件包含漏洞原理浅探

文件包含是指一个文件里面包含另外一个文件；开发过程中，重复使用的函数会写入单独的文件中，需要使用该函数的时候直接从程序中调用该文件即可，这一个过程就是“文件包含”

02

远程文件包含漏洞（pikachu）

File Inclusion(文件包含漏洞)概述文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，其可以使开发人员在一个代码文件中直接包含（引入）另外一个代码文件。比如在PHP中，提供了： include(),include_once() require(),require_once() 这些文件包含函数，这些函数在代码设计中被经常使用到。大多数情况下，文件包含函数中包含的代码文件是固定的，因此也不会出现安全问题。但是，有些时候，文件包含的代码文件被写成了一个变量，且这个变量可以由前端用户传进来，这种情况下，如果没有做足够的安全考虑，则可能会引发文件包含漏洞。攻击着会指定一个“意想不到”的文件让包含函数去执行，从而造成恶意操作。根据不同的配置环境，文件包含漏洞分为如下两种情况： 1.本地文件包含漏洞：仅能够对服务器本地的文件进行包含，由于服务器上的文件并不是攻击者所能够控制的，因此该情况下，攻击着更多的会包含一些固定的系统配置文件，从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞，从而形成更大的威力。 2.远程文件包含漏洞：能够通过url地址对远程的文件进行包含，这意味着攻击者可以传入任意的代码，这种情况没啥好说的，准备挂彩。因此，在web应用系统的功能设计上尽量不要让前端用户直接传变量给包含函数，如果非要这么做，也一定要做严格的白名单策略进行过滤。你可以通过“File Inclusion”对应的测试栏目，来进一步的了解该漏洞。

02

干货 | 一文了解文件包含漏洞

本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途。

02

cisp-pte学习笔记之文件包含

开发者在开发的过程中，会将可以重复利用的函数或者代码块写入到单个文件当中，当需要实现某些功能，直接调用对应功能的文件即可，无需重复编写，这种调用文件的过程称之为文件包含

02

一文了解文件包含漏洞

例子_GET['filename']参数开发者没有经过严格的过滤，直接带入了include的函数攻击者可以修改_GET['filename']的值，执行非预期的操作

01

任意文件包含漏洞（1）

文件包含漏洞：即file inclusion 指当服务器开启allow_url_include选项时，就可以通过PHP的某些特性函数（include()，require()和include_once()，requir_once()），去包含任意文件。此时如果对文件来源不严格过滤审查，就容易包含恶意文件。而攻击者可以通过构造这个恶意文件来达到目的。

04

PHP远程文件包含（RFI）并绕过远程URL包含限制

本文我们讲如何绕过远程URL包含限制。在PHP开发环境php.ini配置文里”allow_url_fopen、allow_url_include“均为“off”的情况下，不允许PHP加载远程HTTP或FTP的url进行远程文件包含时。我们依旧可以使用SMB，来加载执行远程文件。

03

【说站】php有哪些文件包含漏洞

1、LFI，本地文件包含漏洞，顾名思义，指的是能打开并包含本地文件的漏洞。大部分情况下遇到的文件包含漏洞都是LFI。

02

DVWA笔记（六）----File Inclusion

丢到里面直接解密就好了，如果解不出来，直接换一个md5值，或者设置密码为空密码也成。

02

【Pikachu】File Inclusion(文件包含漏洞)

文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，其可以使开发人员在一个代码文件中直接包含（引入）另外一个代码文件。

03

网络安全之文件包含漏洞就是这么简单

文件包含漏洞属于代码注入漏洞，为了减少重复代码的编写，引入了文件包含函数，通过文件包含函数将文件包含进来，直接使用包含文件的代码；简单来说就是一个文件里面包含另外一个或多个文件。

04

超详细本地文件包含漏洞详解（小白也能懂！）

在index.php文件里包含1.txt，而1.txt的内容是phpinfo(),include函数包含1.txt，就会把1.txt的内容当成php文件执行，不管后缀是什么。1.txt也好，1.xml也好，只要里面是php代码，然后有被include函数包含，那么就被当成PHP文件执行。

02

Web应用渗透测试-本地文件包含

0x01 前言本文的目的在于帮助网络安全爱好者们去识别和测试LFI漏洞，通过研究去探究LFI渗透测试技术以及LFI漏洞通常在哪里被发现。如果你有更好的奇淫技巧，欢迎分享。 0x02 什么是本地文件

文件包含漏洞-懒人安全

一.漏洞描述文件包含漏洞主要是程序员把一些公用的代码写在一个单独的文件中，然后使用其他文件进行包含调用，如果需要包含的文件是使用硬编码的，那么一般是不会出现安全问题，但是有时可能不确定需要包含哪些具体文件，所以就会采用变量的形式来传递需要包含的文件，但是在使用包含文件的过程中，未对包含的变量进行检查及过滤，导致外部提交的恶意数据作为变量进入到了文件包含的过程中，从而导致提交的恶意数据被执行，主要用来绕过waf上传木马文件。二.漏洞分类 0x01本地文件包含：可以包含本地文件，在条件

08

看图说话：文件包含（File Inclusion）漏洞示例

作为测试人员，我们常常听到“安全测试”这个词，但鲜有人真正做过安全测试。从我们的职责“保障质量”角度来说，说是一种“失职”也不为过。那么安全测试是什么，究竟怎么进行安全测试？希望本文能起到抛砖引玉的作用。

01

文件包含漏洞(File Include)

由于在编写代码时避免麻烦就需要把公用的一段代码写到一个单独的文件里面，然后供其他文件需要时直接包含调用

02

PHP文件包含漏洞总结

PHP文件包含漏洞的产生原因是在通过PHP的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。最常见的就属于本地文件包含（Local File Inclusion）漏洞了。我们来看下面一段index.php代码:

03

【原创】基础篇--文件包含漏洞总结

服务器通过PHP的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件，而我们可以构造这个恶意文件来达到攻击的目的。

02

Web漏洞 | 文件包含漏洞

文件包含漏洞是代码注入的一种。其原理就是注入一段用户能控制的脚本或代码，并让服务器端执行，代码注入的典型代表就是文件包含File inclusion。文件包含可能会出现在jsp、php、asp等语言中。服务器通过函数去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件，而我们可以构造这个恶意文件来达到邪恶的目的。常见的文件包含的函数如下 PHP：include() 、include_once()、require()、require_once()、fopen()、readfile() JSP/Servlet：ava.io.file()、java.io.filereader() ASP：include file、include virtual

01

文件包含漏洞与文件包含Bypass漏洞基础

服务器通过PHP的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件，而我们可以构造这个恶意文件来达到攻击的目的。

03

php伪协议

https://blog.csdn.net/Jeff_12138/article/details/124815370

01

DVWA File inclusion(文件包含)-超详细

本篇文章为DVWA平台File inclusion（文件包含）类型题目，本篇文章目的为记录自己的作题过程并且希望能够帮到大家，如有错误还请各位师傅指正！本篇文章同样会同步至本人博客https://tenghy.gitee.io/teng/

02

CTF从入门到提升（十一）文件包含

很多网站的admin（管理员）入口和user（用户）入口是分开的，登陆过程所调用的函数可能都是同一个函数，最后操作的表不同。如果调用的是同一个函数，网站一般分开两个文件存储：admin目录和user目录。在不同文件中，如果没有使用“文件包含”这个操作，同一个函数就会出现在两个文件中增加重复工作的工作量。但是如果使用“文件包含”操作，直接调用函数就可以了。

04

新手上路 | 德国电信网站从LFI到命令执行漏洞

几个月前，我对德国电信官网telekom.de作了一些子域名枚举，看看是否有一些新的子域名出现。因为德国电信只接收类似SQL注入和远程代码执行类的高危漏洞，所以如果够幸运的话，可以尝试在其子域名站点中去发现一些类似漏洞。在跑了一遍aquatone 、dnsenum、 recon-ng 和 sublist3r之后，我收集到了telekom.de的所有子域名，在去除了重复项之后，我又创建了一个简单脚本利用dirb对每个子域名站点进行目录遍历。本地文件包含（LFI）漏洞几小时过后，当我检查dirb的运行结果

VulnHub靶机渗透之DC:5

这次的内容是DC系列的第五个靶机，不得不说这个系列每一个靶机都很有代表性，闲话少叙，搞起来。

03

针对后端组件的攻击测试

学习打卡计划是信安之路知识星球开启的 “每天读书一小时，挑战打卡一百天” 主题活动，能够坚持学习打卡 100 天的同学可以获得信安之路提供的百分成就徽章和证书，学习书籍可以自选，主要目的是养成每日读书学习的好习惯，并将自己的学习心得分享出来供大家学习。

03

PHP 文件包含漏洞姿势总结

文件包含漏洞的产生原因是在通过 PHP 的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。

02

代码安全之文件包含

PHP文件包含漏洞的产生原因是在通过PHP的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。

00

文件包含漏洞原理利用方式及修复

文件包含定义: 服务器执行PHP文件时，可以通过文件包含函数加载另一个文件中的PHP代码，并且当PHP来执行，这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时，您只更新一个包含文件就可以了，或者当您向网站添加一张新页面时，仅仅需要修改一下菜单文件（而不是更新所有网页中的链接）。造成方便的同时,也留下了隐患。

02

Pikachu漏洞靶场系列之综合

很多Web站点因业务需要，会开放一下文件上传的接口。而当后台没有对文件上传功能进行安全考虑或采用了有缺陷的措施，可能会导致黑客可以上传一些如一句话木马等恶意文件，并通过该恶意文件来控制整个Web后台。

02

PHP伪协议的几种使用姿势

首先归纳下常见的文件包含函数：include、require、include_once、require_once、highlight_file、show_source、readfile、file_get_contents、fopen、file。

02

软件安全性测试（连载17）

顾翔老师近期推出一对一入职面试辅导。有兴趣者可加微信xianggu19720625与我联系。先要提供简历初选，合适者进一步洽谈。

01

VulnHub通关日记-DC_5-Walkthrough

DC-5 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.

02

eval长度限制绕过 && PHP5.6新特性

昨天晚上 @roker 在小密圈里问了一个问题，就是eval(xxx)，xxx长度限制为16个字符，而且不能用eval或assert，怎么执行命令。

01

文件包含漏洞学习总结(结尾有实例)

程序开发人员一般会把重复使用的函数写到单个文件中，需要使用某个函数时直接调用此文件，而无需再次编写，这种文件调用的过程一般被称为文件包含。

03

【基础篇】PHP源代码审计

Rips 是使用PHP语言开发的一个审计工具，所以只要大家有可以运行PHP的环境就可以轻松实现PHP的代码审计，如果大家感兴趣可以自行了解官网http://rips-scanner.sourceforge.net/

02

phpMyAdmin 4.8.x（最新版）本地文件包含漏洞利用

本文转载自：phpMyAdmin 4.8.x LFI Exploit -http://blog.vulnspy.com/2018/06/21/phpMyAdmin-4-8-x-LFI-Exploit/

07

【Java 代码审计入门-06】文件包含漏洞原理与实际案例介绍

为什么会有这一些列的文章呢？因为我发现网上没有成系列的文章或者教程，基本上是 Java 代码审计中某个点来阐述的，对于新人来说可能不是那么友好，加上本人也在学习 Java 审计，想做个学习历程的记录和总结，因此有了本系列的文章。

03

LFI-SPACE：一款功能强大的本地文件包含LFI漏洞扫描工具

LFI-SPACE是一款功能强大的本地文件包含LFI漏洞扫描工具，该工具不仅功能强大的，而且运行效率也非常高，旨在帮助广大研究人员在目标Web应用程序中扫描和识别本地文件包含LFI漏洞。该工具主要通过两种不同的方法简化了识别潜在安全缺陷的过程：即Google Dork Search和Targeted URL Scan。凭借其全面的方法，LFI-SPACE能够帮助安全专业人员和渗透测试人员评估目标Web应用程序的安全态势。

02

w3af简单使用教程

w3af是一个Web应用程序***和检查框架.该项目已超过130个插件,其中包括检查网站爬虫,SQL注入(SQL Injection),跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等.该项目的目标是要建立一个框架,以寻找和开发Web应用安全漏洞,所以很容易使用和扩展.

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭