文件包含原理

文件包含是因为服务器端某些程序对用户提交参数过滤不当造成的该程序一般具有以读取方式输出文件内容或者下载文件，前者也可以叫做任意文件读取，两者本质上是一样的。通常在以下情况下存在该漏洞。

文件包含函数

include()
include_once()
require()
require_once()
fopen()
readfile()

include和require区别

include在包含的过程中如果出现错误，会抛出一个警告，程序继续正常运行;而require函数出现错误的时候，会直接报错并退出程序的执行。

include_once()和require_once()区别

与前两个的不同之处在于这两个函数只包含一次，适用于在脚本执行期间同一个文件有可能被包括超过一次的情况下，你想确保它只被包括一次以避免函数重定义，变量重新赋值等问题。

本地文件包含

假如用户参数可控，那么通过可控参数的值来读取文件。如etc/passwd等等

<?php
$file = $_GET['filename'];
include $file;
?>

远程文件包含

如果PHP的配置选项allow_url include为ON的话，则include/require函数是可以加载远程文件的，这种漏洞被称为远程文件包含漏洞。

条件 win.ini中设置

allow_url_fopen   on
allow_url_include on

demo：

<?php
$file = $_GET['file'];
require_once $file .'/action/share.php';

?>

常见的敏感文件路径

Windows系统：

c:\boot.ini // 查看系统版本
c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件
c:\windows\repair\sam // 存储Windows系统初次安装的密码
c:\ProgramFiles\mysql\my.ini // MySQL配置
c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码
c:\windows\php.ini // php 配置信息

Linux/Unix系统：

/etc/passwd // 账户信息
/etc/shadow // 账户密码文件
/usr/local/app/apache2/conf/httpd.conf         // Apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置
/usr/local/app/php5/lib/php.ini //PHP相关配置
/etc/httpd/conf/httpd.conf // Apache配置文件
/etc/my.conf // mysql 配置文件