攻防世界Web_php_include网站首页 技术交流

攻防世界Web_php_include

木… 2023-05-23 20:00:02

简介攻防世界Web_php_include

php文件包含题

启动场景

进行代码审计：

对get类型参数进行循环过滤字符串'php://'，所以考虑其他伪协议，伪协议详见PHP伪协议详解_Snakin_ya的博客-CSDN博客

show_source() 函数

str_replace() 函数

strstr() 函数

方法一使用data协议

data://伪协议是数据流封装器，传递相应格式的数据。通常可以用来执行PHP代码

经过测试官方文档上存在一处问题，经过测试PHP版本5.2，5.3，5.5，7.0；data:// 协议是是受限于allow_url_fopen的，官方文档上给出的是NO，所以要使用data://协议需要满足双on条件

PHP.ini：

data://协议必须双在on才能正常使用；

allow_url_fopen ：on

allow_url_include：on

用法：

data://text/plain,

data://text/plain;base64,

由于file://协议用于本地系统，所以考虑用data://协议

1.构造payload：

page=data://text/plain;base64,<?php system("ls")?> （base64加密后的值）注意这里ls用双引号

即：data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyIpPz4=

2.读取flag所在文件

?page=PHP://filter/read=convert.base64-encode/resource=fl4gisisish3r3.php

3.使用base64解码，得到flag

方法二运用php://input

php://input是个可以访问请求的原始数据的只读流。POST请求的情况下，最好使用php://input来代替$HTTP_RAW_POST_DATA，因为它不依赖于特定的php.ini指令。而且，这样的情况下$HTTP_RAW_POST_DATA默认没有填充，比激活always_populate_raw_post_data潜在需要更少的内存。enctype="multipart/form-data"的时候php://input是无效的。

1、php://input可以读取http entity body中指定长度的值，由Content-Length指定长度，不管是POST方式或者GET方法提交过来的数据。但是，一般GET方法提交数据时，http request entity body部分都为空。

2、php://input与$HTTP_RAW_POST_DATA读取的数据是一样的，都只读取Content-Type不为multipart/form-data的数据

1.访问PHP://input

构造payload：?page=PHP://input