攻防世界fileinclude通关秘籍：如何用php://filter伪协议绕过文件包含漏洞

攻防世界fileinclude通关秘籍：如何用php://filter伪协议绕过文件包含漏洞

最近在带一些刚入门网络安全的朋友刷CTF题目，发现“攻防世界”平台上的fileinclude这道题，成了不少人的“拦路虎”。题目本身并不复杂，但它巧妙地结合了文件包含漏洞和PHP伪协议，对于理解Web安全中的一些核心概念非常有帮助。如果你正在学习CTF，或者想深入理解PHP文件包含漏洞的利用方式，这篇文章将带你从零开始，一步步拆解这道题，并深入探讨php://filter伪协议背后的原理与实战技巧。我们不止于解出flag，更会剖析为什么这样做能成功，以及在实际渗透测试中，这种思路能如何变通应用。

1. 理解题目环境与漏洞入口

拿到任何CTF题目，第一步永远是信息收集和环境侦察。fileinclude题目通常提供一个简单的Web界面，页面上可能只有寥寥数语。很多新手会直接开始尝试各种注入，但往往事倍功半。我的习惯是，先像侦探一样，把能看到的“现场”都仔细勘查一遍。

打开题目提供的URL，你可能会看到一个非常简洁的页面，上面写着一些欢迎语，或者提示“请选择语言”。乍一看，似乎没什么特别。但这里隐藏着第一个关键点：查看网页源代码。在浏览器中按下Ctrl+U（或右键选择“查看页面源代码”），往往能发现前端代码中隐藏的线索。

比如，你可能会在源代码中发现类似这样的片段：

<!-- $lan = $_COOKIE['language']; -->
<!-- @include($lan . '.php'); -->

这段注释（或实际代码）揭示了两个重要信息：

1. 网站使用了一个名为language的Cookie来传递参数。
2. 程序使用include()函数，动态包含了以该Cookie值为基础的文件。

include()是PHP中用于引入并执行指定文件代码的函数。当它接受的参数可以被用户控制时，就构成了本地文件包含（LFI）漏洞。攻击者可以利用这个漏洞，让服务器去包含并执行本不应被访问的文件，例如系统配置文件、日志文件，或者像本题中的flag.php。

注意：题目中常用@符号来抑制错误信息输出，这使得漏洞利用时缺乏直接的错误反馈，增加了难度，但也更贴近真实环境中开发者隐藏错误的情况。

那么，flag在哪里？题目描述或页面提示通常会明确指出flag存放在flag.php文件中。我们的目标就从“让网站显示欢迎信息”，变成了“如何让include()函数去读取flag.php的内容”。

2. 初探文件包含与常见绕过思路

直接尝试修改Cookie，让language等于flag，希望服务器执行include('flag.php')，这通常是第一个想法。但出题人不会让题目这么简单。你可能会发现，页面没有任何变化，或者返回了一个空白页、错误页。

这是因为程序代码很可能有类似这样的逻辑：

$allowed_langs = array('english', 'chinese');
$lan = $_COOKIE['language'];
if (in_array($lan, $allowed_langs)) {
    @include($lan . '.php');
} else {
    @include('e