CTF中怎么看phpinfo

CTF中怎么看phpinfo

在比赛中经常遇到phpinfo，这个页面可以看到很多配置信息，我们需要在这么多信息中，着重看一下几个内容： 
1、allow_url_fopen和allow_url_include 
 
其中配置作用是这样的:

1. allow_url_fopen =On(允许打开URL文件,预设启用)
2. allow_url_fopen =Off(禁止打开URL文件)
3. allow_url_include =Off(禁止引用URL文件,新版增加功能,预设关闭)
4. allow_url_include =On(允许引用URL文件,新版增加功能)

一旦我们看到allow_url_include是打开的，可以做的事情就很多了，例如PHP伪协议(php://input)执行任意指令，远程包含shell等等。

2、open_basedir 
这个配置选项可以将访问限制在某个目录下。 
 
可以用冒号设置多个目录

3、disable_functions 
通过看这个配置选项可以看是否禁用了一些函数，例如exec等等： 

4、session 
可以看session的存储路径，一般在session包含中用到 
 
注意，其中的Local Value可以在程序中通过类似ini_set修改，Master Value是配置文件php.ini中的值。

5、一些组件 
例如imagick，可能存在漏洞的其他组件