文件包含漏洞:
为提高重用率,常把多次用到的代码写到一个 文件中,使用头文件方式进行代码的调用。
为了灵活,被调用的文件被命名为变量,但缺少对这个变量的限制 ,对文件名缺少合理的校验,或者校验被绕过,进而操作了意料之外的文件,导致文件泄露及恶意代码注入,从而导致用户可获取一定的服务器权限,文件包含在服务器本地则是本地包含,包含在第三方服务网站就是远程包含。
几乎所有脚本语言都会提供文件包含的功能,但文件包含漏洞在PHP中居多,而在JSP、ASP、ASP.NET程序中却非常少。
我看到的这个题是这样的,只有123,查看源码也还是123,应该是题目改动了:
但是其他人看到的是这样的:
@$_REQUEST 的意思是获得参数,能得到@$_GET与@$_POST的参数。所以构造hello的get参数。
eval() 函数会把字符串参数当做代码来执行。
file() 函数把整个文件读入一个数组中,并将文件作为一个数组返回。
print_r() 函数只用于输出数组。
var_dump() 函数可以输出任何内容:输出变量的容,类型或字符串的内容,类型,长度。
hello=file(“flag.php”),最终会得到var_dump(file(“flag.php”)),以数组形式输出文件内容。
include()函数和php://input,php://filter结合很好用,php://filter可以用与读取文件源代码,结果是源代码base64编码后的结果。
原来的题思路有三个:1)eval存在命令执行漏洞,使用hello构造payload(每一帧数据中除了头尾的原始信息)
2)http://120.24.86.145:8003/index.php?hello=1);include $_POST['f'];
// 在POST区域:f=php://filter/convert.base64-encode/resource=flag.php
3)直接将flag.php文件读入变量hello中
这种 ?hello=get_file_contents('flag.php')
或 ?hello=file('flag.php')
题目内容:
涉及到的函数:
getcwd() :显示是 在哪个文件里调用此文件 的目录 绝对路径
__DIR__ :当前内容写在哪个文件就显示这个文件目录 绝对路径
__FILE__ : 当前内容写在哪个文件就显示这个文件目录+文件名 绝对路径
error_reporting() 设置 PHP 的报错级别并返回当前级别
error_reporting(0); //禁用错误报告
error_reporting(E_ERROR | E_WARNING | E_PARSE); //报告运行时错误
error_reporting(E_ALL); //报告所有错误
highlight_file() 函数对文件进行 PHP 语法高亮显示
highlight_file(filename,return) //规定要显示的文件,
//return,为TRUE,该函数将以字符串形式返回高亮显示的代码;默认FALSE
正则表达式匹配:
int preg_match( string pattern, string subject [, array matches ] )
//正则表达式,需要匹配检索的对象,$matches[0] 将包含与整个模式匹配的文本,$matches[1] 将包含与第一个捕获的括号中的子模式所匹配的文本,以此类推
preg_match() 第一次匹配成功后就会停止匹配,如果要实现全部结果的匹配,即搜索到subject结尾处,则需使用 preg_match_all() 函数。
die() 函数输出一条消息,并退出当前脚本
eval() 函数把字符串按照 PHP 代码来计算
该字符串必须是合法的 PHP 代码,且必须以分号结尾。
如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。
主要是这个匹配: preg_match("/^\w+$/",$args)
"/"表示正则表达式的定界符(边界),但是也可以是其他符号:如”#“,”!“, “|”
^xxx以什么开头 \w表示字母 xxx$表示以什么结尾
?零次或一次 *零次或多次 +一次或多次 {n}n次 {n,}至少n次 {n,m}n到m
\d 任意一个十进制数字[0-9]
\D 任意一个非十进制数字
\s 任意一个空白字符(空格、换行符、换页符、回车符、字表符)
\S 任意一个非空白字符
\w 任意一个单词字符 [a-z 0-9 A-Z]
\W 任意个非单词字符
\a 报警
\b 退格
\f 换页
\n 换行
\r 回车
\t 字表符
D+表示一个或多个D
表示agrs是:以一个或多个字母开头和结尾
eval("var_dump($$args);"); //可以看到eval的参数字符串最后已经加上了分号
$a = 'abc';
$$a = 789; 过程是$a为abc,$abc=789
echo $abc; 打印出来是789
$$容易引起变量覆盖,$GLOBALS 引用全局作用域中可用的全部变量
这个题解析过程是$args 之后解析 $GLOBALS直接到了flag1.php中的全局变量
直接改url
http://123.206.87.240:8004/index1.php?args=GLOBALS