前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >文件包含、PHP伪协议

文件包含、PHP伪协议

作者头像
字节脉搏实验室
发布2020-12-21 10:54:41
2.5K0
发布2020-12-21 10:54:41
举报

一、PHP中造成文件包含的四个函数

1、include() 、require()

当使用include()函数包含文件时,只有代码执行到 include() 函数时才将文件包含进来,发生错误时只给出一个警告,继续向下执行。

当使用require()函数包含文件时,只要程序一执行就会立即调用文件,发生错误的时候会输出错误信息,并且终止脚本的运行

2、include_once() 功能和 include() 相同,区别在于当重复调用同一文件时,程序只调用一次。

require_once()功能和require()相同,区别在于当重复调用同一文件时,程序只调用一次。

当使用上述四个函数包含一个新文件时,该文件将作为 PHP 代码执行,php 内核并不在意该被包含的文件是什么类型。所以如果被包含的是 txt 文件、图片文件、远程 url、也都将作为 PHP 代码执行。

robots.txt 内容为:<?php phpinfo();?>

路径为:E:\phpStudy\WWW\robots.txt

二、本地文件包含、远程文件包含的区别

1、本地文件包含 LFI(Local File Include)

2、远程文件包含 RFI(Remote File Include)(需要 php.ini 中 allow_url_include=on、allow_url_fopen = On)

在 php.ini 中,allow_url_fopen 默认一直是 On,而 allow_url_include 从 php5.2 之后就默认为 Off。

三、PHP伪协议

PHP伪协议事实上就是支持的协议与封装协议(12种)

测试代码

路径为:E:\phpStudy\WWW\include.php

目标文件

robots.txt

路径为:E:\phpStudy\WWW\robots.txt

robots.zip

路径为:E:\phpStudy\WWW\robots.zip

内容为:robots.txt

1.php

路径为:E:\phpStudy\WWW\1.php

flag.txt

路径为:E:\flag.txt

常用协议

1、目录遍历获取flag

2、php://input、php://filter

在CTF中经常使用的是php://filter和php://input

(1)php://input用于执行php代码。

PHP.ini:

allow_url_fopen :off/on

allow_url_include:on

也可以写入shell获取服务器权限

接下来就是连接后门就OK了

(2)php://filter用于读取源码

php://filter在双off的情况下也可以正常使用;

allow_url_fopen :off/on

allow_url_include:off/on

?file=php://filter/convert.base64-encode/resource=1.php

获取到的内容是base64加密的,解码即可获取1.php源码

3、file://

用于访问本地文件系统,在CTF中通常用来读取本地文件

file:// 协议在双off的情况下也可以正常使用;

allow_url_fopen :off/on

allow_url_include:off/on

需要获取文件绝对路径

4、data://

allow_url_fopen:on

allow_url_include:on

可以写入后门,获取权限执行任意命令

5、zip://

zip:// [压缩文件绝对路径]#[压缩文件内的子文件名]

先将要执行的PHP代码写好文件名为robots.txt,将robots.txt进行zip压缩,压缩文件名为rob.zip,如果可以上传zip文件便直接上传,若不能便将rob.zip重命名为rob.jpg后在上传.

由于#在get请求中会将后面的参数忽略所以使用get请求时候应进行url编码为%23,且此处经过测试相对路径是不可行,所以只能用绝对路径。

四、靶场练习题

1、LFI

?file=../../../etc/passwd

读取系统文件,确认存在文件包含。

使用data协议或者php://input协议判断是远程文件包含还是本地文件包含。

发现没有回显,基本确定是本地文件包含。

ctf中,我们可以直接去读取index.php或者flag.php

如果有任何过滤,index.php源码中能够看见,如果没有任何提示,我们就直接读取flag.php

2、RFI

跟上面一样,我们使用php://input看看是远程还是本地包含。

如果是远程,我们可以直接Getshell

咱们用data://text/plain或者php://input都可以

用蚁剑连接即可

根目录发现两个flag文件,其中flag无法读取,readflag乱码。

这种情况,CTF中经常遇见,我们可以/readflag运气,然后获取flag

还有一种方式,也能读取flag

通过后门密码,调用system函数,运行readflag获取flag。

通知!

公众号招募文章投稿小伙伴啦!只要你有技术有想法要分享给更多的朋友,就可以参与到我们的投稿计划当中哦~感兴趣的朋友公众号首页菜单栏点击【商务合作-我要投稿】即可。期待大家的参与~

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-12-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 字节脉搏实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档