查看此技术的完整详情：https://gynvael.coldwind.pl/download.php?f=PHP_LFI_rfc1867_temporary_files.pdf

PHP文件上传

当PHP引擎接收到按照RFC 1867格式化的文件的POST请求时，它会生成临时文件来存储上传的数据。这些文件对于PHP脚本中的文件上传处理至关重要。如果需要在脚本执行之后持久存储，必须使用move_uploaded_file函数将这些临时文件重新定位到所需位置。在执行后，PHP会自动删除任何剩余的临时文件。

未经授权访问的挑战在于预测临时文件的名称，这是有意随机化的。

在Windows系统上的利用

在Windows上，PHP使用GetTempFileName函数生成临时文件名，结果类似于<path>\<pre><uuuu>.TMP的模式。特别注意：

• 默认路径通常为C:\Windows\Temp。

• 前缀通常为"php"。

• <uuuu>代表唯一的十六进制值。由于函数的限制，仅使用低16位，允许最多65,535个具有恒定路径和前缀的唯一名称，使得暴力破解成为可能。

此外，在Windows系统上，利用过程更加简化。FindFirstFile函数中的一个特殊之处允许在本地文件包含（LFI）路径中使用通配符。这使得可以创建类似以下内容的包含路径来定位临时文件：

http://site/vuln.php?inc=c:\windows\temp\php<<

在某些情况下，可能需要更具体的掩码（如php1<<或phpA<<）。可以系统地尝试这些掩码来发现已上传的临时文件。

在GNU/Linux系统上的利用

对于GNU/Linux系统，临时文件命名中的随机性很强，使得这些名称既不可预测也不容易受到暴力攻击。更多细节可以在参考文档中找到。