ctf比赛中，常见的文件包含漏洞的做法

### 回答1：
CTF 比赛中常见的文件包含漏洞的做法包括：

1. 在文件中嵌入恶意代码，例如 PHP 文件中嵌入 PHP 后门。
2. 在文件中嵌入解压后执行恶意代码的压缩包，例如在一个图片文件中嵌入 zip 压缩包。
3. 在文件中包含指向恶意网站的链接。
4. 在文件中包含指向恶意文件的路径，例如在一个文本文件中包含指向加密垃圾文件的路径。

最常见的文件包含漏洞的类型是 PHP 和其他服务器端脚本语言，因为它们可以在服务器上执行恶意代码。但也有可能在其他类型的文件中发现文件包含漏洞，例如 PDF、Office 文档等。

### 回答2：
在CTF比赛中，文件包含漏洞是一种常见的攻击方式。文件包含漏洞主要出现在动态网页中，它指的是在文件中引用其他文件时，未经有效的过滤或验证，导致恶意用户可以通过构造特定的请求，获取系统中的敏感信息或执行任意代码。

首先，一个常见的做法是利用路径遍历来获取敏感文件。攻击者通过构造包含../的文件路径，让服务器读取到位于网站根目录之外的敏感文件。例如，攻击者可能会访问config.php，其中包含数据库的用户名和密码。

其次，攻击者也可能利用文件包含漏洞实现远程文件包含，进一步扩大攻击面。如在引入文件的地方，通过传递网络路径的方式，将远程服务器上的恶意文件包含到受影响的网站上，从而执行任意代码。这种方式被称为远程文件包含（RFI）攻击。

除此之外，攻击者还可以通过利用用户的输入来实现文件包含漏洞。在某些情况下，网站可能会动态地引入用户提交的内容，例如通过GET或POST参数。攻击者可以构造恶意的参数值，使得网站将用户输入的内容当作文件路径进行解析，从而执行恶意代码或访问敏感文件。

为了防止文件包含漏洞，开发者需要进行严格的输入验证和过滤。例如，可以使用白名单机制，只允许系统访问指定目录内的文件。此外，对于用户输入的参数，要进行充分的校验和过滤，确保其只包含允许的字符和路径。

总之，在CTF比赛中，常见的文件包含漏洞攻击方式主要包括路径遍历、远程文件包含和用户输入导致的漏洞。为了保护系统安全，开发者需要进行合适的输入验证、输出过滤和权限控制。