)01、檔案包含漏洞原理
在網站後端代碼開發中、程式為了提高效率,以及讓代碼看起來更加簡潔,會使用“包含”函數功能,比如把一系列的功能函數、基礎的類,基礎的方法寫進function.php中,之後某個檔案需要調用的時候,就直接在那個檔案頭中寫上一句代碼
就可以直接調用函數時代碼
)02、檔案包含漏洞形成
因為網站功能的需求,會讓用戶端使用者選擇需要包含的檔案(或者在前端的功能中使用了“包含”),又由于程式員對要包含的檔案沒有進行安全方面的考慮,就導緻了攻擊者可以修改包含檔案的位置來讓背景執行任意代碼檔案。
)01、檔案包含常見函數漏洞點講解
PHP中引發檔案包含漏洞的通常是以下四個函數:
include()
include_once()
require()
require_once()
)02、檔案包含漏洞應用場景
a) 具有相關檔案包含函數
b) 檔案包含函數中存在動态變量,比如include $file;
c) 攻擊者能夠控制該變量,比如$file=$_GET['file'];
d) file page等參數
)03、檔案包含技巧之圖檔,木馬包含
include檔案代碼如下:
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsISPrdEZwZ1Rh5WNXp1bwNjW1ZUba9VZwlHdsATOfd3bkFGazxCMx8VesATMfhHLlN3XnxCMwEzX0xiRGZkRGZ0Xy9GbvNGLpZTY1EmMZVDUSFTU4VFRR9Fd4VGdsYTMfVmepNHLrJXYtJXZ0F2dvwVZnFWbp1zczV2YvJHctM3cv1Ce-cmbw5yYzIDMygjZhVzMwcTOjhzNzQzY2QWNyADNmNGOjVDOy8CXzEzLchDMxIDMy8CXn9Gbi9CXzV2Zh1WavwVbvNmLvR3YxUjLzM3Lc9CX6MHc0RHaiojIsJye.png)
通過include檔案内的檔案包含函數包含我們上傳的圖檔木馬,進而去執行圖檔木馬的php代碼。
1、檔案包含漏洞簡介與原理介紹
2、檔案包含常見函數漏洞點講解