具體場景——session
PHP默認生成的session文件往往存放在/tmp目錄下
舉栗子
題目內容:看看我的notebooktips;
tips:文件包含phpinfo是不是有新的發現
用給到的內容去做題目,我們可以看一下這道題目,進來之後首頁找到url。
如果把php刪掉,會發現登錄入口不存在,初步推斷php是後綴名會自動拼接到URL後面。
有了這個設想判斷後,我們去讀文件login改成password會發現不存在登錄入口。
我們註冊用戶來看一下,線索已經用完了,我們要發掘新的線索新的功能,有管理員賬號可以進去看源代碼會不會有提示。
比如admin賬號和密碼去爆破,或者注入,掃後臺掃備份文件,我們會看到一個phpinfo文件,因爲題目中的提示提到了文件包含,它必然是一個非常重要的點,那就需要我們考慮它到底有什麼用。
我們可以包含這個文件試一下,按照剛纔的文件名後綴發現可以讀出文件。
只有訪問以上兩個目錄才能夠被讀取。
如果file讀取文件換成index.php會怎樣呢?發現它能夠回來然後又跳轉到UL。
具體場景——遠古魔法
舉栗子
get去傳一個配置的值,然後去包含下面的一文件名,配合.php爲後綴名進行截斷,不停的敲點或者點槓。
具體場景——phpinfo
文件上傳無論後臺有沒有接受我傳上的文件這個功能它都是會有文件先傳上去的這個步驟,文件上傳的函數代碼邏輯是形成一個臨時文件,然後把臨時文件移過來。所以我們對php文件去做上傳操作都會產生臨時文件,後臺如果沒有這些函數,臨時文件生成後又會被刪掉,如果過手速夠快,是有辦法能夠訪問到臨時文件的,用文件包含的操作去包含它,會觸發臨時文件中的代碼,能拿到臨時文件就可以getshell,但是難點在於臨時文件的文件名我們不知道,也不知道在哪個路徑下。
演示
以上內容參考安全牛課堂《CTF從入門到提升》