本文共 1303 字,大约阅读时间需要 4 分钟。
php支持多种封装协议,这些协议常被CTF出题中与文件包含漏洞结合,这里做个小总结。实验用的是DVWA平台,low级别,phpstudy中的设置为5.4.45版本
设置allow_url_fopen和allow_url_include都为On.
index.php
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200609202632296.png)
index.php同级目录下有mytest001.txt
mytest002.txt
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200609202710221.png)
mytest003…txt
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200609203631296.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2NDgxMjM5,size_16,color_FFFFFF,t_70)
再说明一下,include()函数对文件后缀名无要求,而对其中的语法有要求,即使后缀名为txt,jpg也会被当做php文件解析,只要文件内是<?php ?>形式就可以执行,但是如果不是php语法的形式,即使后缀为php,也无法执行。
一,php:// 访问输入输出流,有两个常用的子协议
1,php://filter 设计用来过滤筛选文件
用法
非php语法文件include失败,直接输出源码内容。
![在这里插入图片描述](https://img-blog.csdnimg.cn/2020060920372673.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2NDgxMjM5,size_16,color_FFFFFF,t_70)
php语法文件include成功,直接运行
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200609203806793.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2NDgxMjM5,size_16,color_FFFFFF,t_70)
如果想要读取运行php文件的源码,可以先base64编码,再传入include函数,这样就不会被认为是php文件,不会执行,会输出文件的base64编码,再解码即可。
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200609203839805.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2NDgxMjM5,size_16,color_FFFFFF,t_70)
若采用rot13编码,对php文件中的<?是无效的,仍会被认为是php文件去执行,但其中的内容是乱码的,是没有输出效果的。
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200609203948921.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2NDgxMjM5,size_16,color_FFFFFF,t_70)
2,php://input
这个协议的利用方法是 将要执行的语法php代码写在post中提交,不用键与值的形式,只写代码即可。
![在这里插入图片描述](https://img-blog.csdnimg.cn/2020060921441062.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2NDgxMjM5,size_16,color_FFFFFF,t_70)
如果可以自己构造代码,就可以看到更重要的信息:
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200609214432348.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2NDgxMjM5,size_16,color_FFFFFF,t_70)
二,file:// 与php:filter类似,访问本地文件,但是只能传入绝对路径
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200609214630106.png)
三,phar:// 可以查找指定压缩包内的文件
1,传入绝对路径
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200609214703672.png)
2,传入相对路径,即同级目录下的文件
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200609214723562.png)
四,zip:// 用法与phar类似,不过有两点要注意
1,只能传入绝对路径。
2,要用#分隔压缩包和压缩包里的内容,并且#要用url编码%23
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200609214847820.png)
五,data 与input 类似,都是用户可以控制传入的php代码
1,直接写入代码
data: text/plain,<?php 执行内容 ?>
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200609214916174.png)
2,使用base64编码
data:text/plain;(注意是分号不是逗号,与前面不同)base64,编码后的php代码
![在这里插入图片描述](https://img-blog.csdnimg.cn/2020061008350890.png)
有一点要注意的问题,base64编码后的加号和等号要手动的url编码,否则无法识别。
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200610083600719.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2NDgxMjM5,size_16,color_FFFFFF,t_70)
同样的,给了自己写代码的权利,就可看到更多东西
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200610083626519.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2NDgxMjM5,size_16,color_FFFFFF,t_70)
六,http协议
include中也可以传入外部链接,采用http://,具体怎么利用以后再来填坑。
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200610083818928.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2NDgxMjM5,size_16,color_FFFFFF,t_70)
最后来总结一下,
php://filter file:// 可以访问本地的文件
zip:// phar:// 可以访问本地压缩文件
php://input data: 可以自己写入php代码
关于allow_url_fopen和allow_url_include的设置和用法这里有个总结:
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200610083920350.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzQ2NDgxMjM5,size_16,color_FFFFFF,t_70)
参考:http://www.freebuf.com/column/148886.html
https://www.cnblogs.com/Spec/p/11137030.html