Web安全攻防实战教程-课件 第5章 Web安全之文件操作漏洞深度解析与防御

2026/03/06Web安全之文件操作漏洞深度解析与防御CONTENTS目录01

文件操作漏洞概述02

文件包含漏洞03

文件上传漏洞04

文件下载漏洞05

漏洞攻击实训演练文件操作漏洞概述01文件操作漏洞的定义与风险

文件操作的核心地位文件操作是网站核心且高频功能，涵盖用户上传、下载文件及网站引用内外部文件等，为用户提供丰富便利的交互体验。

文件操作漏洞的安全风险若对用户上传文件缺乏严格校验，攻击者可上传恶意代码文件，进而查看、修改、删除网站文件及执行系统命令，危害极大。

文件操作漏洞的主要类型主要包含文件包含漏洞、文件上传漏洞和文件下载漏洞三类，需针对性防范以保障网站安全。文件操作漏洞的分类

文件包含漏洞Web应用程序动态加载文件时，未严格验证和过滤用户输入的文件路径，攻击者可构造恶意路径包含本地或远程文件，导致敏感信息泄露或恶意代码执行。

文件上传漏洞用户利用系统文件上传功能上传攻击性脚本（WebShell），因客户端和服务器未做好完整校验，攻击者可控制网站系统或服务器、传播病毒等。

文件下载漏洞服务器未对用户下载请求有效验证过滤或配置不当，攻击者通过修改请求参数、猜测遍历文件路径，绕过访问控制下载不应访问的文件，分为任意文件下载和路径遍历。文件包含漏洞02文件包含漏洞介绍文件包含的定义与作用文件包含指Web开发中通过调用封装好的代码文件提升开发效率，是常见编码习惯。若未严格校验引用源，可能被攻击者用于包含恶意文件，导致敏感信息泄露或恶意代码执行。漏洞产生的原因Web应用程序在动态加载文件时，未对用户输入的文件路径进行严格验证和过滤，使得攻击者可构造恶意路径包含本地或远程文件。PHP文件包含函数及特点PHP提供include、include_once、require、require_once四个文件包含函数。include和include_once发生错误时输出警告不终止执行，后者避免重复调用；require和require_once发生错误时输出信息并终止脚本，后者同样避免重复调用。文件包含漏洞分类01本地文件包含（LFI）漏洞攻击者操控文件路径参数，使服务器包含非预期本地文件，可能导致敏感信息泄露或恶意代码执行，是较常见的文件包含漏洞类型。02远程文件包含（RFI）漏洞与本地文件包含漏洞原因相同，但利用外部服务器中的文件执行。其利用条件更苛刻，需PHP配置中allow_url_include=On（PHP5.2.0后默认Off），通常因管理员配置失误产生。03PHP相关配置说明本地文件包含需allow_url_fopen=On（默认允许）；远程文件包含除allow_url_fopen=On外，还需allow_url_include=On（默认关闭），二者共同控制文件包含的来源限制。本地文件包含漏洞攻击演示

获取CentOS密码文件通过构造URL参数，使用相对路径或绝对路径访问/etc/passwd，如/bcbm/fileinc.php?filename=/etc/passwd，页面可返回passwd文件内容。

读取Apache配置文件访问URL：/bcbm/fileinc.php?filename=/opt/lampp/etc/httpd.conf，成功获取Apache配置文件httpd.conf的内容。

访问网站页面与Apache日志文件访问URL：/bcbm/fileinc.php?filename=login.html可打开网站登录页面；访问/bcbm/fileinc.php?filename=/opt/lampp/logs/access_log能返回access_log日志文件内容。远程文件包含漏洞攻击演示

01访问第三方网站页面利用远程文件包含漏洞访问第三方网站，如URL：/bcbm/fileinc.php?filename=，可成功显示第三方网站页面。

02执行远程服务器代码（PHP文件）攻击者在自身服务器（6）放置shell.php（内容：），通过URL：/bcbm/fileinc.php?filename=6/learn/shell.php，仅获取攻击服务器自身环境信息，无实际攻击意义。

03执行远程服务器代码（TXT文件）将恶意代码放入shell.txt，访问URL：/bcbm/fileinc.php?filename=6/learn/shell.txt，被攻击服务器执行代码，成功获取其CentOS环境信息。日志文件包含漏洞攻击

01漏洞利用前提条件需满足日志文件可读、存放位置可知、存在文件包含漏洞三个条件，缺一不可，否则无法执行日志中的恶意代码。

02包含Web服务器日志文件攻击攻击者通过URL参数写入恶意代码到Apacheaccess_log日志，经BurpSuite编辑避免URL编码后，访问包含日志文件的URL，成功执行恶意代码获取PHP环境信息。

03包含登录日志文件攻击攻击者在登录用户名中输入恶意代码，登录失败后代码写入/var/log/secure日志，赋予日志可读权限后，通过文件包含漏洞执行日志中代码，获取服务器PHP环境信息。PHP伪协议文件包含

php://filter伪协议作为过滤器，可读取文件并进行编码处理。如URL：/bcbm/fileinc.php?filename=php://filter/read/convert.base64-encode/resource=common.php，获取Base64编码的文件内容，解码后得到源代码。

php://input伪协议允许访问请求原始数据，POST提交恶意代码可被执行。如在HackBar中设置URL为/bcbm/fileinc.php?filename=php://input，POST数据为，可获取服务器网络信息。

phar://伪协议处理PHP归档文件，可读取压缩文件内容。上传含恶意代码的shell.zip（或重命名为shell.jpg），通过URL：/bcbm/fileinc.php?filename=phar://upload/shell.zip/shell.php（或shell.jpg）执行代码。

data伪协议将数据内嵌URL，如URL：/bcbm/fileinc.php?filename=data://text/plain,，服务器执行代码并返回网络信息。文件包含漏洞防御措施

关闭非必要设置在不使用远程文件包含功能时，设置php.ini中allow_url_include=Off和allow_url_fopen=Off，减少漏洞利用风险。

设置白名单与文件目录范围对可包含的文件进行白名单约束，限制仅允许包含指定安全文件；设置open_basedir配置项，限定用户访问文件的目录范围。

用户输入验证和过滤严格验证用户输入内容，过滤特殊字符、路径分隔符（如“/”）等，阻止攻击者构造恶意路径，从源头减少漏洞利用可能。文件上传漏洞03文件上传漏洞介绍文件上传功能的普遍性与风险文件上传是Web系统常见功能，用户可上传图片、视频等文件。但恶意用户若上传可执行攻击性脚本，可能导致网站被控制甚至服务器崩溃，引发重大网络安全事故。WebShell的概念WebShell是攻击者上传的攻击性脚本，通过它可获得执行服务器命令的能力，是一种直接有效的攻击方式。攻击者利用漏洞的目的包括控制网站系统或服务器、传播病毒、钓鱼引诱用户上当、利用服务器作为攻击平台（如发送垃圾邮件、发起DDoS攻击等）。文件上传的常见检测方式

前端检测通过JavaScript检测上传文件的扩展名、文件大小等是否符合要求，若不符合则直接拒绝上传。但前端检测脆弱，易被绕过，需配合服务器验证。

后端Content-Type属性值校验后端读取Content-Type属性值判断文件类型是否合法。但攻击者可修改该属性值绕过校验。

后端文件扩展名校验对上传文件的扩展名进行判断，拒绝不符合要求的文件。但可利用服务器解析顺序等方式绕过。

后端文件内容校验读取文件头前4个字节的签名信息判断文件类型。常见文件类型有对应的文件头，如JPG文件头为FFD8FFE1，PNG为89504E47等。前端检测绕过攻击

攻击过程演示先将非法文件扩展名改为合法（如test.php改为test.jpg），用BurpSuite拦截数据包，将filename改回原扩展名（test.php），提交后成功上传非法文件。

漏洞原理解析前端通过JavaScript函数checkFile检测文件扩展名，只允许JPG、PNG、GIF格式。攻击者可禁用JS、删除JS检查代码或通过抓包改扩展名绕过。

防御要点前端检测需配合服务器同类型验证，不能仅依赖前端校验。Content-Type检测绕过攻击

攻击过程演示上传PHP文件，服务器因Content-Type为application/octet-stream拒绝。用BurpSuite拦截请求，将Content-Type改为image/jpeg，成功绕过检测上传文件。

漏洞原理解析服务器代码通过$_FILES['photo']['type']获取Content-Type属性值，与image/jpeg、image/png、image/gif对比，不符则禁止上传。攻击者修改该值可绕过。

常用Content-Type属性值如image/jpeg（JPEG图片）、text/html（HTML文档）、application/octet-stream（二进制流数据）等。文件扩展名检测绕过攻击攻击过程演示上传test.php被拒，将文件命名为testfn.php.abcd上传成功。访问该文件时，Apache从右向左解析扩展名，因.abcd不可识别，解析.php并执行文件。漏洞原理解析服务器代码通过pathinfo获取文件扩展名，判断是否为jpg、png、gif。攻击者使用不可识别的扩展名（如.abcd），利用服务器解析顺序绕过限制。攻击案例结果访问/bcbm/upload/testfn.php.abcd，成功执行文件，获取PHP环境信息。文件内容检测绕过攻击图片马文件制作准备PHP文件（如）和图片文件，通过命令copyh.jpg/b+test.php/apt.jpg制作图片马，恶意代码嵌入图片尾部。攻击过程演示上传图片马文件pt.jpg，因文件头符合图片类型绕过内容检测。利用文件包含漏洞访问/bcbm/fileinc.php?filename=upload/pt.jpg，执行恶意代码。漏洞原理解析服务器通过getReailFileType函数读取文件头前两字节判断类型，图片马文件头符合要求被允许上传，结合文件包含漏洞执行嵌入的恶意代码。文件上传漏洞防御措施多重检测组合

结合前端检测、服务器文件名检测、服务器文件头签名信息检测，进行多重校验，提高安全性。文件随机重命名

利用时间戳等对上传文件重命名，如$newName=date('Ymd_His.').end(explode(".",$fileName))，即使非法文件上传，也加大执行难度。设置上传目录不可执行

将文件上传目录设置为不可执行，限制上传文件执行，从根本上防止恶意脚本运行。文件下载漏洞04文件下载漏洞介绍

漏洞成因服务器代码未对用户下载请求进行有效验证和过滤，或服务器配置不当，导致攻击者可通过修改请求参数、猜测/遍历文件路径等方式绕过访问控制。

漏洞分类分为任意文件下载（服务器未限制可下载文件范围，攻击者可下载任意文件）和路径遍历（攻击者通过修改URL或请求参数访问授权目录外的文件，常使用“../”访问父目录）。

风险危害可能导致服务器配置文件、源代码、数据备份等敏感文件泄露，威胁系统安全。文件下载漏洞攻击演示验证文件下载功能访问URL“/bcbm/download.php?filename=pt.jpg”，成功下载upload文件夹中的pt.jpg文件，浏览器弹出下载对话框。尝试下载受限文件访问“/bcbm/download.php?filename=/etc/passwd”，页面提示“你要下载的文件不存在，请重新下载”，表明限制下载upload目录外文件。构造URL绕过限制使用多层“../”构造URL“/bcbm/download.php?filename=../../../../../etc/passwd”，成功绕过目录限制，浏览器弹出下载/etc/passwd文件的对话框。文件下载漏洞原理解析

代码逻辑download.php代码中，通过“$file_path="upload/{$_GET['filename']}"”限定下载文件夹为upload目录，若upload目录存在请求文件则允许下载。

漏洞触发点当攻击者传入含“../”的参数（如“../../../../../etc/passwd”）时，$file_path变为“upload/../../../../../etc/passwd”，改变了原目录限制，导致可下载upload目录外文件。

根本原因未对用户输入的filename参数进行有效过滤，未限制特殊字符（如“.”“/”）的使用，使得攻击者可通过路径遍历访问未授权文件。文件下载漏洞防御措施严格验证与过滤对下载请求进行严格验证，检查文件类型、大小、来源等，采用白名单策略只允许下载已知安全的文件类型。禁止特殊字符下载请求参数中禁止使用“.”“/”等特殊字符，防止用户通过URL退回上级目录。严格访问控制确保只有经过身份验证和授权的用户才能访问及下载特定文件。随机文件名与路径为上传和下载的文件生成随机的文件名及存储路径，避免攻击者预测文件存储路径和名称。漏洞攻击实训演练05文件包含漏洞攻击实训

访问Pikachu靶场页面在Windows系统的Firefox浏览器中访问Pikachu靶场，选择“FilesInclusion”→“FilesInclusion(local)”选项，打开本地文件包含漏洞页面。

构造URL参数尝试访问敏感文件通过URL参数filename尝试访问本地文件/etc/passwd，初始访问失败并暴露绝对路径，根据提示构造相对路径URL：/pikachu/vul/fileinclude/fi_local.php?filename=../../../../../../etc/passwd&submit=提交查询。

成功利用漏洞获取敏感文件内容访问构造后的URL，成功读取/etc/passwd文件内容，显示root、bin等用户信息，完成本地文件包含漏洞攻击。文件上传漏洞攻击实训

访问文件上传前端检测页面在Pikachu靶场选择“UnsafeFileupload”→“客户端check”选项，打开文件上传前端检测页面，页面提示只允许上传图片类型文件。

删除前端检测JavaScript代码通过浏览器“查看元素”功能找到前端检测文件类型的JavaScript代码（onchange="checkFileExt(this.value)"），将其删除，屏蔽前端检测功能。

上传非图片类型文件并验证选择test.php文件