什么是 LFI攻击?
LFI(Local File Inclusion)攻击是一种通过漏洞将服务器本地文件包含进应用程序的恶意手段。攻击者利用不安全的文件包含函数(如 include、require、readfile 等),将任意本地文件的路径注入到参数中,从而实现代码执行、敏感信息泄露甚至系统控制。相较于远程文件包含(RFI),LFI 更依赖于目标服务器的文件结构和权限,但其危害同样不容小觑。
LFI攻击的工作原理
1. 参数注入
大多数 LFI 漏洞出现在对用户输入未进行严格过滤的页面。例如:
<?php $page = $_GET['page']; include($page . ".php");?>如果 page 参数直接拼接进 include,攻击者只需构造 ?page=../../../../etc/passwd%00 即可尝试读取系统密码文件。
2. 路径遍历(Directory Traversal)
路径遍历是 LFI 的核心技术。通过使用 ../(或 ..\)向上跳转目录,攻击者可以突破根目录限制,访问任意层级的文件。现代系统常通过 realpath、basename 等函数进行路径规范化,但若实现不当仍会留下可利用的空间。
3. 文件包装(File Wrappers)
PHP 支持 php://filter、data://、expect:// 等包装器,攻击者可借助这些特殊协议实现代码执行。例如:
?file=php://filter/convert.base64-en[code](https://basebiance.com/tag/code/)/resource=../../../../etc/passwd通过过滤器将文件内容进行 Base64 编码后返回,进一步规避字符过滤。
LFI攻击的危害
- 敏感信息泄露:如
/etc/passwd、配置文件、日志文件等,攻击者可获取系统用户、数据库凭证等关键数据。 - 代码执行:若成功包含可写入的日志文件或上传的脚本,攻击者可在服务器上执行任意 PHP 代码,实现持久化后门。
- 横向渗透:获取内部网络结构信息后,可进一步发起 SSRF、内部接口探测等攻击。
- 服务中断:通过包含大文件或恶意脚本导致服务器资源耗尽,形成 DoS 效果。
常见的 LFI 攻击场景
| 场景 | 漏洞表现 | 典型利用方式 |
|---|---|---|
| 动态模板加载 | include($_GET['tpl']); | ?tpl=../../../../var/www/html/../config |
| 日志文件读取 | include($logFile); | ?log=../../../../var/log/apache2/access.log |
| 上传文件包含 | include($uploadPath . $file); | 上传 .php 脚本后通过 ?file=upload/malicious.php 包含 |
检测与防御措施
1. 输入过滤与白名单
- 白名单:仅允许预定义的文件名或路径列表。
- 正则过滤:禁止出现
../、�、%00等路径遍历字符。
$allowed = ['home', 'about', 'contact'];$page = $_GET['page'];if (in_array($page, $allowed)) { include($page . '.php');}2. 使用真实路径校验
realpath() 可返回规范化后的绝对路径,配合根目录限制可有效阻止越界:
$base = realpath('/var/www/html/pages/');$target = realpath($base . '/' . $_GET['page'] . '.php');if (strpos($target, $base) === 0) { include $target;}3. 禁用危险包装器
在 php.ini 中关闭 allow_url_include、allow_url_fopen,并限制 php://filter 等包装器的使用。
allow_url_include = Offallow_url_fopen = Off4. 最小化文件权限
- 只读:Web 目录文件设为 0644,禁止写入。
- 分离权限:将上传目录与代码目录严格分离,防止上传的文件被直接包含。
5. 安全审计与漏洞扫描
使用工具如 Nikto、OWASP ZAP、Burp Suite 对 Web 应用进行 LFI 检测;同时结合代码审计(静态分析)发现潜在的包含函数风险。
实战案例分析
案例一:某开源 CMS 的 LFI 漏洞(CVE-2022-XXXXX)
该 CMS 在主题切换功能中使用 include($_GET['theme']);,未进行过滤。攻击者通过 ?theme=../../../../etc/passwd%00 成功读取系统密码文件,进一步利用泄露的 root 用户信息进行 SSH 暴力破解。该漏洞被披露后,官方在两天内发布了安全补丁,加入了白名单校验。
案例二:日志文件包含导致代码执行
某电商平台的日志记录模块将用户请求写入 access.log,随后在调试页面使用 include($logFile); 展示日志。攻击者在请求中注入 PHP 代码(如 <?php system($_GET['cmd']); ?>),日志被写入后被包含执行,实现了远程命令执行。该案例凸显了 日志文件包含 的高危性,提醒开发者切勿直接包含可写入的文件。
LFI攻击的未来趋势
- 容器化环境的细粒度隔离:随着 Docker、Kubernetes 的普及,攻击者将尝试突破容器边界,利用 LFI 获取宿主机信息。
- AI 辅助漏洞挖掘:大模型可自动生成路径遍历 payload,提升攻击效率。防御方需采用机器学习检测异常请求。
- 零信任架构:通过服务间身份验证、最小权限原则,降低单点 LFI 成功后的危害范围。
总结
LFI攻击虽然看似简单,却能在不加防护的 Web 应用中造成严重后果。通过严格的输入校验、路径规范化、最小化文件权限以及持续的安全审计,能够有效降低风险。安全从代码审计开始,也需要运维、开发、测试多方协作,构建全链路防御体系。
关于 LFI攻击的常见问题
1. LFI 与 RFI 的区别是什么?
- LFI(Local File Inclusion):仅能包含目标服务器本地文件,依赖路径遍历等技术。
- RFI(Remote File Inclusion):可以包含外部服务器的文件,通常通过
allow_url_include开启的 PHP 环境实现。两者攻击思路相似,但危害范围不同。
2. 如何快速判断一个页面是否存在 LFI 漏洞?
可以尝试常见的路径遍历 payload,如 ?file=../../../../etc/passwd,并观察返回内容是否包含系统文件的特征(如 root:x:0:0:)。配合 Burp Suite 的 Intruder 自动化测试效果更佳。
3. LFI 是否只能读取文本文件?
不局限于文本文件。若服务器对二进制文件有读取权限,攻击者同样可以获取图片、压缩包甚至可执行文件的二进制数据,只是直接利用的难度更大。
4. 开启 open_basedir 能否完全防止 LFI?
open_basedir 限制了 PHP 脚本可以访问的目录范围,能够在一定程度上阻止跨目录读取。但如果攻击者能够找到受限目录内部的敏感文件,仍可能造成信息泄露。因此应配合其他防御措施使用。
5. 是否有工具可以自动化检测 LFI 漏洞?
常用工具包括 Nikto、OWASP ZAP、Burp Suite、Acunetix,它们提供了路径遍历字典和自动化扫描功能,能够帮助安全团队快速定位潜在的 LFI 漏洞。
主题测试文章,只做测试使用。发布者:币安赵长鹏,转转请注明出处:https://www.binancememe.com/120060.html
