首页 > 代码库 > CTF中怎么看phpinfo

CTF中怎么看phpinfo

CTF中怎么看phpinfo

在比赛中经常遇到phpinfo,这个页面可以看到很多配置信息,我们需要在这么多信息中,着重看一下几个内容: 
1、allow_url_fopen和allow_url_include 
技术分享 
其中配置作用是这样的:

  1. allow_url_fopen =On(允许打开URL文件,预设启用)
  2. allow_url_fopen =Off(禁止打开URL文件)
  3. allow_url_include =Off(禁止引用URL文件,新版增加功能,预设关闭)
  4. allow_url_include =On(允许引用URL文件,新版增加功能)

一旦我们看到allow_url_include是打开的,可以做的事情就很多了,例如PHP伪协议(php://input)执行任意指令,远程包含shell等等。

2、open_basedir 
这个配置选项可以将访问限制在某个目录下。 
技术分享 
可以用冒号设置多个目录

3、disable_functions 
通过看这个配置选项可以看是否禁用了一些函数,例如exec等等: 
技术分享

4、session 
可以看session的存储路径,一般在session包含中用到 
技术分享 
注意,其中的Local Value可以在程序中通过类似ini_set修改,Master Value是配置文件php.ini中的值。

5、一些组件 
例如imagick,可能存在漏洞的其他组件

CTF中怎么看phpinfo