首页 > 代码库 > CTF中怎么看phpinfo
CTF中怎么看phpinfo
CTF中怎么看phpinfo
在比赛中经常遇到phpinfo,这个页面可以看到很多配置信息,我们需要在这么多信息中,着重看一下几个内容:
1、allow_url_fopen和allow_url_include
其中配置作用是这样的:
allow_url_fopen =On(允许打开URL文件,预设启用)
allow_url_fopen =Off(禁止打开URL文件)
allow_url_include =Off(禁止引用URL文件,新版增加功能,预设关闭)
allow_url_include =On(允许引用URL文件,新版增加功能)
一旦我们看到allow_url_include是打开的,可以做的事情就很多了,例如PHP伪协议(php://input)执行任意指令,远程包含shell等等。
2、open_basedir
这个配置选项可以将访问限制在某个目录下。
可以用冒号设置多个目录
3、disable_functions
通过看这个配置选项可以看是否禁用了一些函数,例如exec等等:
4、session
可以看session的存储路径,一般在session包含中用到
注意,其中的Local Value可以在程序中通过类似ini_set
修改,Master Value是配置文件php.ini中的值。
5、一些组件
例如imagick,可能存在漏洞的其他组件
CTF中怎么看phpinfo
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。