文件包含

文件包含简单介绍

文件包含这本身是正常的，因为有些程序员为了方便，直接在网站的php文件内写一个include.*（这个用来执行别的php文件），这里没有对包含的文件进行检测，如果网站没有检测图片格式的文件，则可以把一句话木马改成图片格式，图片上传后图片自身并不是一个代码，他会执行图片生成一个webshell

文件包含包括了本地文件包含LFI和远程文件包含RFI

*本地文件包含LFI：*当被包含的文件在服务器本地时，就形成本地文件包含
远程文件包含RFI：当被包含的文件在第三方服务器时，就叫远程文件包含

本地文件包含：先生成一个图片一句话木马，上传木马图片，再利用本地文件包含去执行上传的图片，让图片生成一个后门，通过菜刀连接webshell

制作一句话图片木马：
准备一个文件夹，三个文件，一个a.bat执行dos文件，用来允许cmd，在这个文件里面允许cmd更方便，因为他的操作都存在这个文件内

第二个文件一张普通图片
第三个文件就是一个php的一句话木马
允许a.bat文件进入cmd，输入dos命令
这个dos命令是无缝拼接，打造隐藏文字图片 copy/b 文件名1+文件名 合并后的文件名

两个文件生成了一个新的tpyjh.jpg图片，这个图片就是图片一句话木马
上传这个文件后就成功后执行这个文件，就是在网站进入到这个图片的绝对路径

使用菜刀工具连接这个网站