文件包含漏洞形成的原因
文件包含漏洞形成的原因是在利用函数来包含某个文件时,文件并不是从安全、正规的途径得到的,同时开发者没有对文件进行足够的安全考虑,使得恶意文件造成文件包含漏洞,是文件出现泄露等问题。
PHP文件包含函数
include:包含并运行指定的文件,当所包含文件发生错误时,会出现警告,但程序会继续执行。
require:包含并运行指定的文件,但当包含文件出现错误是,程序将不再继续执行,会停止运行。
require_once:与require相似,但当该文件的代码已经被包含,则不会再次包含,可以理解为只导入一次。
include_once:与include相似,但当该文件的代码已经被包含,则不会再次包含。
php伪协议
PHP伪协议主要有以下几种:
- file://:访问本地文件系统。
- http://:访问HTTP(s)网址。
- ftp://:访问FTP(s) URLs。
- php://:访问各个输入/输出流(I/O streams)。
- zlib://:压缩流。
- data://:数据(RFC 2397)。
- glob://:查找匹配的文件路径模式。
- phar://:PHP归档。
- ssh2://:Secure Shell 2。
- rar://:RAR。
- ogg://:音频流。
- expect://:处理交互式的流。
file://
file://访问本地文件系统
file使用的基本格式为file://文件的绝对路径和文件名,比如要打开d盘download文件夹中的1.txt文件,那么可以在资源管理器或浏览器地址栏中输入:file:
//d:/download/1.txt
php://filter
php://filter是一种元封装器,是PHP中独有的一个协议,设计用于数据流打开时的筛选过滤应用,这个协议可以用来做文本格式化预处理。
使用基本格式为:php://filter/[read|write =]【过滤器】/resource=【目标文件】
php://filter 的 参数列表
read 读取
write 写入
resource 数据来源(必须的)
read参数值可为
string.strip_tags 将数据流中的所有html标签清除
string.toupper 将数据流中的内容转换为大写
string.tolower 将数据流中的内容转换为小写convert.base64-encode 将数据流中的内容转换为base64编码
convert.base64-decode 与上面对应解码
例如本题需要读取源代码并进行base64编码输出,不然会直接当做php代码执行我们就看不到源代码内容了。
我们构建G7=php://filter/read=convert.base64-encode/resource=flag.php,即可将源代码转变为base64编码的字符串,通过base64解码即可得到flag。
php://input
用于读取 POST 请求中的原始数据,包括 JSON、XML、文本等格式。使用 php://input 可以避免 PHP 自动解析 POST 数据的问题,从而更加灵活地处理请求数据。