利用 phar 伪协议进行文件包含

最新推荐文章于 2024-02-19 21:32:43 发布
最新推荐文章于 2024-02-19 21:32:43 发布
阅读量188 收藏 1
点赞数
分类专栏: ctf 文件上传 phar 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73612768/article/details/134209155
版权
ctf 同时被 3 个专栏收录
71 篇文章 0 订阅
订阅专栏
文件上传
4 篇文章 0 订阅
订阅专栏
phar
2 篇文章 0 订阅
订阅专栏

文件上传,最直观的注入点可能就是提交文件那里,但是这道题不一样。

在这里前后端都会校验,而且都采用白名单机制,并且 PHP 版本高于 5.2.4 ,什么 %00截断,0x00截断都用不了

虽然你可能不愿意相信,但注入点不在这里

在这里插入图片描述

在这里插入图片描述

查看 “关于” 页面

http://49.123.0.109:40005/index.php?module=about

在这里插入图片描述

查看 “提示”:当前目录下存在一个 about.inc 文件

在这里插入图片描述

查看 about.inc 文件

在这里插入图片描述

虽然是乱码,但是可以大致看到,内容是不是和 “关于” 页面内容是一样的???

 http://49.123.0.109:40005/index.php?module=about


http://49.123.0.109:40005/about.inc

内容似乎是一样的,那它们两者之间有什么关联呢?是单纯的巧合,还是这两个页面压根就是同一个页面呢?

这是一个大胆的猜测,能想到这个的一定是天才吧。

如果这两个页面是一样的,那么我们在输入 ?module=about 的时候应该是自动加上了一个 .inc 后缀,使其变为 about.inc 再包含进来。

利用 phar 伪协议进行文件包含

phar 伪协议无论读取什么文件,都会将其视为压缩包进行解压缩,然后作为 php 代码执行,在文件上传类漏洞中经常被用到。

假设猜想成立,那么我们上传的文件一定要是个 .inc 文件,这样的话经过服务器自动加后缀 .inc ,才能读到正确的文件;如果上传其他类型的文件,最终都会被 .inc 覆盖,成为一个不存在的文件。

要利用 phar 伪协议读文件,我们先要将这个 .inc 文件压缩(注意 PHP>=5.3.0 压缩包需要是 zip 协议压缩,rar 不行)成 zip 文件;

为了通过这个严格的白名单验证,我们再将 .zip 改为 .jpg (符合条件的格式就行)。

上传成功后,用 phar 伪协议读取这个 .jpg 文件,就会自动解压缩,并作为 php 代码执行,然后用蚁剑连就行了。

理论存在,实践开始。

创建 .inc 文件,里面是一句话木马

在这里插入图片描述

压缩为 zip 文件

在这里插入图片描述

将 .zip 改为 .jpg

在这里插入图片描述

上传 .jpg 文件

在这里插入图片描述

获取上传文件的路径

这里我们先上传一个普通照片,预览该照片,然后右击该照片打开所在位置即可。

在这里插入图片描述

发现照片所在路径:./upload/uploadfile/

在这里插入图片描述

利用 phar 伪协议进行文件包含
?module=phar://upload/uploadfile/eval.jpg/eval

这里 phar 伪协议解压缩完 eval.jpg 时,eval.jpg 就变成了一个文件夹,所以路径是 eval.jpg/eval.inc ,但因为服务器会自动加上 .inc 后缀,所以这里直接输入 eval.jpg/eval 即可。

蚁剑连接

路径是

http://49.123.0.109:40005/index.php?module=phar://upload/uploadfile/eval.jpg/eval

在这里插入图片描述

看似 flag 是这个,实则 flag 在根目录下

在这里插入图片描述

妙尽璇机
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用PHAR协议进行PHP反序列化攻击
Jeeseen123的博客
06-28 389
PHAR (“Php ARchive”) 是PHP中的打包文件,相当于Java中的JAR文件,在php5.3或者更高的版本中默认开启。PHAR文件缺省状态是只读的,当我们要创建一个Phar文件需要修改php.ini中的phar.readonly,修改为:phar.readonly = 0 当通过phar://协议phar文件进行文件操作时,将会对phar文件中的Meta-data进行反序列化操作,可能造成一些反序列化漏洞。 本文由锦行科技的安全研究团队提供,从攻击者的角度展示了PHAR反序列化攻击的原理和
phar反序列化+文件上传与例题讲解
2301_79708753的博客
01-26 1112
web笔记相关于phar反序列化+文件上传与例题讲解,欢迎各位指正
phar协议文件包含
fzy2003的博客
07-05 453
掌握phar协议文件包含的用法。
文件包含之——phar协议
abc18964814133的博客
05-09 6231
文件上传之phar协议
pop链构造和phar://协议
qq_48511129的博客
12-13 703
phar类似java中的jar包,是一种压缩包。可以对php项目进行打包成 .phar类型的文件,也可以把某个功能模块打包直接发布。 1.配置 要想使用phar文件,必须将phar.readonly配置项配置为0或Off <?php class B{ public function __destruct(){ echo $this -> name; } } $phar = new Phar("test.phar"); $phar -> startBuff
php协议phar
woshicainiao666的博客
02-19 670
php协议---phar
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
composer-distributor:通过Composer分发PHAR文件
03-27
通过Composer部署PHAR文件如果您的工具的行为类似于二进制文件,并且希望将该工具作为PHAR文件而不是源代码进行分发,但又不想放弃通过Composer安装工具的便利,则可以使用此库来创建可立即处理此问题的Composer-...
composer.phar文件
11-09
在 PHP 安装目录下新建一个 composer.bat 文件,并将下列代码保存到此文件中。 复制 @php "%~dp0composer.phar" %* 最后重新打开一个命令行窗口试一试执行 composer --version 看看是否正确输出版本号。
PharTools:一个强大PHP-CLI工具,用于管理phar(PHP-Archive)文件
05-26
获取有关Phar存档的信息(例如文件大小,元数据,存根等)。 将zip或tar存档转换为phar存档 将Phar存档转换为zip或tar存档 支持GZip和BZip2压缩类型(BZip2需要php_bz2扩展名,该扩展名已包含在Windows安装程序中)...
文件包含技巧拓展】————2、zip或phar协议包含文件
Fly_鹏程万里
01-30 3191
这个方法适用于验证包含文件为特定后缀时。 例如以下代码 &lt;?php $file = $_GET['file']; if(isset($file) &amp;&amp; strtolower(substr($file, -4)) == ".jpg"){ include($file); } ?&gt; &lt;?php $file = $_GET['file']; include($fi...
SSRF中phar协议和gopher协议利用
weixin_44687621的博客
09-07 965
我们在学习SSRF漏洞的时候,经常会只关注file协议等,因为利用方式简单。实际上随着php版本的提升和编程技术的规范,能够直接利用的漏洞越来越少了,所以学习使用phar和gopher协议是很有必要的。 phar协议 在php中反序列漏洞,形成的原因首先需要一个unserialize()函数来处理我们传入的可控的序列化payload。但是如果对unserialize()传入的内容进行限制,甚至就不存在可利用的unserialize()函数的时候,就可以借助phar协议触发反序列化操作了 phar流包装器不能
关于php----phar协议phar文件反序列化漏洞利用
m0_62107966的博客
09-12 1993
关于php----phar协议phar文件反序列化漏洞利用phar(php archive)含义为php 归档文件。如果一个由多个文件构成的php应用程序,可以合并打包为一个文件夹,类似于javaweb项目里的jar文件的话,对于程序员来说是很方便的。在PHP5.3之后支持了类似Java的jar包,名为phar。用来将多个PHP文件打包为一个文件。要生成phar文件的话也是很方便,不需要借助额外的工具来创建或者使用,通过php脚本运行就自动在该脚本所在目录下自动创建。
php的phar归档
beyond__devil的博客
02-11 665
今天,打算详细的看看 composer 文档,一直知道有个 composer.phar 文件,经常见,但就不知道 '.phar' 后缀的文件,是做什么的,就百度了下: PHP5.3之后支持了类似Java的jar包,名为phar。php手册的压缩与归档有这个phar东西,一直没看过这个!简单看了下才了解了。 jar(java+archive) phar(php+archive) 1.
php文件上传+文件包含(phar协议)
WFC1006848997的博客
11-22 5155
test.bugku-web-upload—文件上传与文件包含组合 右键查看源码发现 继续查看源码,提示参数是file,还有一个upload.php 跟进upload.php,是个上传界面 那就可以猜测出是 文件上传与文件包含的组合,所以直接先使用协议查看源码,使用的是php://filter协议 php://filter/convert.base64-encode/resource= 首先读取include.php的源码 发现后缀多了一个.php,所以就不加.php了 base64解码 &l
phar文件包含实例:
weixin_53303754的博客
10-15 105
打开源码,得到有用的信息有lfi.php、upload.php、以及lfi.txt文件。打开lfi.txt文件,得到有用信息为%s.php,会给上传的目标文件添加php后缀。在html目录下,可进一步查看flag.php、upload.php。lfi.php、upload.php文件源码空空如也。使用phar协议进行文件包含。注意:链接末尾hack2无后缀。上传hack2.txt文件
文件包含漏洞相关协议详解
永远是少年
12-13 2386
今天继续给大家介绍渗透测试相关知识,本文主要内容是文件包含漏洞相关协议详解。 一、文件包含常用协议 1、file协议 2、php相关协议 3、zip协议 4、data协议 5、其他协议 二、各协议利用条件
利用zip(或者phar)协议进行本地文件包含
weixin_30907523的博客
04-14 511
$include_file=$_GET[include_file];if ( isset( $include_file ) && strtolower( substr( $include_file, -4 ) ) == ".php" ){require( $include_file );} 1.php->phpinfo()->.zip->zip://xxx/xx...
文件包含漏洞之——本地文件包含漏洞 (LFI)
wsnbbz的博客
03-04 2512
定义 能够读取或执行包含本地文件的漏洞,称为本地文件包含漏洞 源代码 原理 为了方便,include等函数里放的不是一个指定文件,而是一个接收文件的变量,从而造成用户可以控制参数file改变这个变量 当参数file 的值为一个指定路径的文件时,此时变量就是此路径,include函数就会执行此文件,当文件不是可执行的php文件时,就会将文件内容读取出货来,这样用户就可通过更改url里的参数进行读取...
phar://协议
最新发布
02-28
通过phar://协议,可以像操作普通文件一样对.phar文件进行读取、写入和执行等操作。使用该协议,可以方便地加载和使用.phar文件中的类、函数和资源。 以下是phar://协议的一些使用示例: 1. 读取.phar文件中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值