php文件包含日志,ThinkPHP5日志文件包含trick

而且只有触发报错的时候才会写入部分日志信息&＃xff0c;如下&＃xff1a;

而直接用url传入php代码&＃xff0c;空格会被urlencode

观察日志信息&＃xff0c;与及分析代码&＃xff0c;可控有蓝色框的请求IP地址&＃xff0c;红色圆圈的请求方法&＃xff0c;与及后面的host和请求uri

对应代码&＃xff1a;

一个个分析一下&＃xff1a;

ip可以用X-Forwarded-For等&＃xff0c;但最后都过滤了

method&＃xff1a;

host:

uri:

可以发现可用的选择还挺多的&＃xff1a;

method可以用X-HTTP-METHOD-OVERRIDE头&＃xff0c;host可以用&＃xff1a;X-REAL-HOST&＃xff0c;uri 可以用&＃xff1a;X-REWRITE-URL

X-REAL-HOST: X-REWRITE-URL:X-HTTP-METHOD-OVERRIDE:

一一对应&＃xff1a;

有一点需要注意(看上图)&＃xff0c;用method头会换成大写&＃xff0c;PHP马写进去之后解析可能会出问题&＃xff0c;所以建议还是用host和url的两个头

实战场景&＃xff1a;Fastadmin 普通用户可以登陆&＃xff0c;有模版渲染漏洞&＃xff0c;没有开app_debug&＃xff0c;无法修改头像&＃xff0c;用模版渲染日志文件getshell

0x02 总结

遇到类似的场景时&＃xff0c;基于tp5 的文件包含、模板渲染写入PHP代码时可尝试用上述的请求头