CTF中怎么看phpinfo
Posted 双耳
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CTF中怎么看phpinfo相关的知识,希望对你有一定的参考价值。
CTF中怎么看phpinfo
在比赛中经常遇到phpinfo,这个页面可以看到很多配置信息,我们需要在这么多信息中,着重看一下几个内容:
1、allow_url_fopen和allow_url_include 
其中配置作用是这样的:
allow_url_fopen =On(允许打开URL文件,预设启用)allow_url_fopen =Off(禁止打开URL文件)allow_url_include =Off(禁止引用URL文件,新版增加功能,预设关闭)allow_url_include =On(允许引用URL文件,新版增加功能)
一旦我们看到allow_url_include是打开的,可以做的事情就很多了,例如PHP伪协议(php://input)执行任意指令,远程包含shell等等。
2、open_basedir
这个配置选项可以将访问限制在某个目录下。 
可以用冒号设置多个目录
3、disable_functions
通过看这个配置选项可以看是否禁用了一些函数,例如exec等等: 
4、session
可以看session的存储路径,一般在session包含中用到 
注意,其中的Local Value可以在程序中通过类似ini_set修改,Master Value是配置文件php.ini中的值。
5、一些组件
例如imagick,可能存在漏洞的其他组件
以上是关于CTF中怎么看phpinfo的主要内容,如果未能解决你的问题,请参考以下文章