第十三章 靶机文件包含漏洞与审计

《Web安全漏洞及代码审计（第2版）（微课版）》课程教案课题：靶机文件包含漏洞与审计教学目的：知识目标：掌握文件包含漏洞的产生机制，包括本地文件包含（LFI）和远程文件包含（RFI）的原理，理解include、require等函数的安全风险。学习文件包含漏洞的多种攻击手法，包括路径遍历、伪协议利用、日志文件包含、文件上传结合等绕过技巧。掌握文件包含漏洞的修复方案，包括白名单校验、路径规范化、危险字符过滤、配置安全等核心防御措施。能力目标：通过靶机环境实践，培养发现、验证和利用文件包含漏洞的实际操作能力，掌握BurpSuite、OWASPZAP等工具的使用。培养代码审计思维，能够识别文件包含函数的敏感汇点，审查常见编程语言（PHP、Java、Python等）中的文件包含逻辑。能够针对发现的文件包含漏洞提出有效的修复方案，并验证修复效果。素养目标：树立"安全第一"的开发理念，理解文件包含漏洞在OWASPTop10中的高危性，培养主动防御的安全意识。了解相关安全标准和法律法规要求，培养合规开发的安全习惯。掌握文件包含漏洞的最新攻击手法和防御技术，培养跟踪安全动态、持续学习的能力。课型：新授课课时：本章安排4个课时。教学重点：重点：掌握文件包含漏洞的修复方案，包括白名单校验、路径规范化、危险字符过滤、配置安全等核心防御措施。教学难点：难点：能够针对发现的文件包含漏洞提出有效的修复方案，并验证修复效果。教学过程：教学形式：讲授课，教学组织采用课堂整体讲授和分组演示。教学媒体：采用启发式教学、案例教学等教学方法。教学手段采用多媒体课件、视频等媒体技术。板书设计：本课标题靶机文件包含漏洞与审计课次2授课方式理论课□讨论课□习题课□其他□课时安排4学分共2分授课对象普通高等院校学生任课教师教材及参考资料1.《Web安全漏洞及代码审计（第2版）（微课版）》；电子工业出版社。2.本教材配套视频教程及学习检查等资源。3.与本课程相关的其他资源。教学基本内容教学方法及教学手段课程引入文件包含漏洞是Web应用程序中常见的高危安全漏洞，攻击者通过构造恶意的文件包含请求，读取服务器敏感文件、执行任意代码、进行内网探测甚至获取服务器控制权。本文系统分析文件包含漏洞的原理机制，探讨在靶机环境中的渗透测试方法，并详细阐述代码审计与防御策略。参考以下形式：1.衔接导入2.悬念导入3.情景导入4.激疑导入5.演示导入6.实例导入7.其他形式项目知识准备一、漏洞介绍文件包含漏洞产生的原因是在通过PHP函数引入文件时，用户可以控制引入文件的文件名，使得引入的文件没有经过校验或者校验被绕过，从而让用户操作了预想之外的文件，这就可能导致意外的文件泄露甚至恶意的代码注入。当被包含的文件在本地服务器中时，就形成了本地文件包含漏洞。当被包含的文件在第三方服务器中时，就形成了远程文件包含漏洞。二、漏洞危害文件包含漏洞看似影响有限，但是一旦被恶意利用，就会带来很大的危害。攻击者利用文件包含漏洞不仅可以读取Web应用程序的一些配置信息，还可以读取操作系统的敏感信息。若攻击者在PHP5.2之前的版本中开启了allow_url_include，则可以写入文件、执行系统命令甚至控制服务器。三、审计思路文件包含漏洞通常出现在模块加载、cache调用的位置，文件包含类函数有include()、include_once()、require()、require_once()，所以在审计文件包含漏洞时，可以直接定位此类函数，向上追踪参数是否可控。四、漏洞利用（1）%00截断：若指定包含文件的后缀，则可以通过此方式实现截断。受GPC和addslashes()函数的影响，在PHP5.3之后的版本中修复了%00截断问题。（2）利用?伪截断：此截断方式不受GPC和PHP版本的限制。其原理是WebServer将问号后面的数据当作参数，从而实现截断。（3）多个.和多个/截断：在PHP5.3之前的版本中，可以利用多个.和多个/进行截断，且不受GPC的限制。据统计，在Windows平台的工作环境中有240个.可以截断，或者240个./可以截断，在Linux平台的工作环境中则有2048个。（4）伪协议：可以通过伪协议利用文件包含漏洞。任务1文件包含漏洞分析一、任务目标能够进行文件包含漏洞的分析；了解《互联网用户账号信息管理规定》。二、任务实施文件包含类函数的功能如下所述。include()：只有在代码执行到此函数时，才将文件包含进来。当发生错误时，只发出警告并继续执行。include_once()：功能和include()函数的一样，区别在于当重复调用同一文件时，程序只调用一次。require()：只要程序执行，就立即调用此函数来包含文件。当发生错误时，会输出错误信息并立即终止程序。require_once()：功能和require()函数的一样，区别在于当重复调用同一文件时，程序只调用一次。1．本地文件包含本地文件包含（LocalFileInclude，LFI）允许攻击者通过浏览器包含本地主机中的文件。Web应用程序在没有正确过滤输入数据的情况下，就可能存在本地文件包含漏洞。2．远程文件包含远程文件包含（RemoteFileInclude，RFI）允许攻击者包含远程文件。远程文件包含的前提是设置allow_url_include=on。任务2文件包含漏洞代码审计一、任务目标能够进行文件包含漏洞的代码审计；了解《互联网信息服务管理办法》。二、任务实施1．环境搭建2．漏洞分析3．漏洞利用项目复盘1．本地搭建实验环境。2．掌握文件包含的利用方式及审计思路。3．独立分析任务2中的项目源代码。4．复现任务2中漏洞分析的文件包含漏洞。1．教学以学生学习教材的基本内容为主，系统全面地了解如何尝试创业实践。2．整个教学过程中，各教学点可根据实际情况，进行拓展知识的讲解。本章小结：文件包含漏洞作为OWASPTop10中的高危漏洞类型，其危害性极其严重。通过靶机环境进行