CTF中怎麽看phpinfo
阿新 • • 發佈:2017-05-04
文件 clas allow gic pen exe 打開 訪問限制 val
CTF中怎麽看phpinfo
在比賽中經常遇到phpinfo,這個頁面可以看到很多配置信息,我們需要在這麽多信息中,著重看一下幾個內容:
1、allow_url_fopen和allow_url_include
其中配置作用是這樣的:
allow_url_fopen =On(允許打開URL文件,預設啟用)
allow_url_fopen =Off(禁止打開URL文件)
allow_url_include =Off(禁止引用URL文件,新版增加功能,預設關閉)
allow_url_include =On(允許引用URL文件,新版增加功能)
一旦我們看到allow_url_include是打開的,可以做的事情就很多了,例如PHP偽協議(php://input)執行任意指令,遠程包含shell等等。
2、open_basedir
這個配置選項可以將訪問限制在某個目錄下。
可以用冒號設置多個目錄
3、disable_functions
通過看這個配置選項可以看是否禁用了一些函數,例如exec等等:
4、session
可以看session的存儲路徑,一般在session包含中用到
註意,其中的Local Value可以在程序中通過類似ini_set
修改,Master Value是配置文件php.ini中的值。
5、一些組件
例如imagick,可能存在漏洞的其他組件
CTF中怎麽看phpinfo