一、文件包含

1、本地文件包含

读取本地域名解析文件

?filename=../../../../Windows/System32/drivers/etc/hosts

---

2、远程文件包含

（1）漏洞分析

        通过url地址对远程的文件进行包含，这意味着攻击者可以传入任意的代码，这种情况没啥好说的，准备挂彩。因此，在web应用系统的功能设计上尽量不要让前端用户直接传变量给包含函数，如果非要这么做，也一定要做严格的白名单策略进行过滤。

        注意：远程包含漏洞的前提：如果使用的incldue和require，则需要在phpStudy或php.ini中配置开启下面选项

（2）编写文件名问yijuhua.txt文件执行后让他自己生成木马

（3）payload

?filename=http://127.0.0.1/pikachu-master/test/yijuhua.txt

运行之后生成了一句话木马文件

（4）使用蚁剑进行连接

 

（5）连接成功

 

---

二、文件下载

1、点击kebo进行下载，得到如下连接

http://127.0.0.1/pikachu-master/vul/unsafedownload/execdownload.php?filename=kb.png

2、可以看到是直接通过filename进行读取文件的，那我们来尝试下载在上一页面URL中发现的down_nba.php

http://127.0.0.1/pikachu-master/vul/unsafedownload/execdownload.php?filename=../down_nba.php

果然成功下载，当然还可以通过../../来构造下载其他文件

---

三、文件上传

1、客户端check

（1）在3.jpg写入php代码。

（2）上传文件进行抓包，将3.jpg改为3.php

 

（3）发送到重发器，显示3.php上传成功，然后放包。 

（4）访问该路径：uploads/3.jpg

上传成功。

---

2、服务端check

（1）上传3.jpg时，使用burpsuite进行抓包

（2）将Content-Type改为Content-Type: image/jpeg，将3.jpg改为3.php，然后放包。

显示上传成功

（3）访问该路径uploads/3.php 

---

3、getimagesize()

（1）编写一句话木马2.php。

（2）将1.jpg和2.php放在同一个目录下，然后用cmd执行命令。

copy 1.jpg/b + 2.php/a 3.jpg

新生成的3.jpg就是构造成功的图片木马

（3）将3.jpg进行上传

如果页面报错

 

修改phpstudy版本，修改到php-5.2.17 +Apache

 

再次重新上传，显示上传成功。

（4）访问该路径

uploads/2021/11/18/65186861961c63c4a77679198778.jpg

 没有执行php代码

（5）利用前面的文件包含漏洞可以将图片格式的文件当做php文件来解析执行

Payload

http://localhost/pikachu-master/vul/fileinclude/fi_local.php?filename=../../unsafeupload/uploads/2021/11/18/65186861961c63c4a77679198778.jpg&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2