文件包含漏洞

漏洞产生原因

文件包含函数加载的参数没有经过过滤或者严格的定义，可以被用户控制，包含其他恶意文件，导致了执行了非预期的代码

示例代码

<?php

$filename = $_GET['filename'];

include($filename); ?>

如果这里$_GET['filename'];攻击者可控，且未经过过滤，就会导致漏洞

读敏感文件

ctf文件包含漏洞中常用的伪协议

php://输入输出流

PHP提供了一些杂项输入/输出(IO)流，允许访问PHP的输入输出流、标准输入输出和错误描述符，内存中、磁盘备份临时文件流以及可以操作其他读取写入文件资源都过滤器

php://filter(本地磁盘文件进行读取)

用法：?filename=php://filter/convert.base64-encode/resource=xxx.php

           ?filename=php://filter/read=convert.base64-encode/resource=xxx.php一样。

条件：只是读取，需要开启allow_url_fopen,不需要开启allow_url_include

读取敏感文件

php://input

可以访问请求的原始数据的只读流。即可以直接读取到POST上没有经过解析的原始数据。enctype="multipart/form-data"的时候php://input是无效的。

用法：?file=php://input数据利用POST传过去。

data://伪协议

数据流封装器，和php://相似都是利用了流的概念，将原本的include的文件流重定向到了用户可控制的输入流中，简单来说就是执行文件的包含方法包含了你的输入法，通过你输入payload来实现目的；

data://text/plain;base64,dGhlIHVzZXIgaXMgYWRtaW4

phar://伪协议

这个参数是就是php解压缩包的一共函数，不管后缀是什么，都会当做压缩包来解压。

用法：?file=phar://压缩包/内部文件 phar://xxx.png/shell.php 注意：php>=5.3.0压缩包需要是zip协议压缩，rar不行，将木马文件压缩后，改为其他任意格式的文件都可以正常使用。

步骤：写一个一句话木马文件shell.php，然后用zip协议压缩为shell.zip，然后将后缀改为png等其他格式。

zip://伪协议

zip伪协议和phar协议类似，但用法不一样。

用法：?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名]zip://xxx.png#shell.php。

条件：PHP>=5.3.0,注意在windows下测试要5.3.0，注意在windows下测试要5.3.0<PHP<5.4才可以#在浏览器中要编码为%23，否则浏览器默认不会传输特殊字符。