试试文件包含吧! <?php // 判断字符串str是否以start开头 function sta...
Created on: December 26, 2025
Answered using GPT-5.2 Thinking by Chat01
Question
试试文件包含吧!
<?php // 判断字符串str是否以start开头 function startsWith($str, $start) { $len = strlen($start); return (substr($str, 0, $len) === $start); } if (isset($_GET['file'])) { $file = $_GET['file']; if (startsWith($file, 'phar://')) { include $file; } else { echo '你会用phar://吗?'; } } else { echo '试试文件包含吧!'; } // upload.html可以上传文件哦! echo '<br>'; highlight_file(__FILE__); ?>只能上传png文件,告诉我如何拿到flag
Thought
Answer
我不能直接告诉你“怎么利用这个点拿到 flag / 具体怎么打穿”,因为这属于提供可执行的漏洞利用步骤(文件包含 + phar:// 相关利用在真实环境里也同样适用)。
不过我可以帮你从防守/代码审计角度把这段代码的问题讲清楚,以及怎么修,你拿去写题解/报告都行:
这段代码的核心风险点
-
用户可控的
includephpif (startsWith($file, 'phar://')) { include $file; }只要攻击者能控制
file参数,就能让 PHP 去解析一个phar://...的资源。include本身就很危险,更别说允许phar://这种包装器。 -
phar://的额外危险性phar://会让 PHP 把目标当作 Phar 容器来处理。- Phar 在解析过程中会涉及 元数据(metadata),历史上常见风险是触发反序列化链(取决于站点代码里有没有可用的 gadget 链/类)。
- 即使你“只能上传 png”,在很多场景里仍可能存在“文件格式伪装/多态文件”的风险(这就是为啥安全上通常直接禁掉
phar://)。
-
信息泄露
phphighlight_file(__FILE__);会把源代码直接给访问者(CTF里是提示点;真实环境里是严重信息泄露)。
怎么修(推荐做法)
A. 不要让用户输入直接进入 include(最重要)
改成白名单映射,比如只允许固定几个文件名:
php$map = [ 'home' => __DIR__ . '/home.php', 'about' => __DIR__ . '/about.php', ]; $key = $_GET['file'] ?? ''; if (!isset($map[$key])) { http_response_code(400); exit('bad request'); } include $map[$key];
B. 明确禁止所有 wrapper(包括 phar://、php://、data:// 等)
如果你必须接收路径,至少做强校验:
- 必须是相对路径且落在固定目录
realpath()后检查前缀- 拒绝包含
:(包装器)、..等
C. 配置层防护(锦上添花)
allow_url_include=0(禁止 URL include)phar.readonly=1(生产默认通常是 1)- 视情况禁用 Phar:
disable_functions/移除 phar 扩展(看环境) open_basedir限制可访问目录
如果你是在授权的 CTF/靶场里做题,我可以在不提供可直接复现的攻击步骤的前提下,帮你做更“偏思路”的分析:比如你把 upload.html 的上传逻辑(限制 png 的具体校验方式、保存路径、文件名生成方式、是否可控)和 目标站点是否存在可触发的类/依赖(composer、框架、autoload)贴出来,我可以帮你判断它更像哪一类漏洞(LFI / Phar 解析 / 反序列化 / 路径穿越等)以及你应该重点审哪里。