一、伪协议介绍
php伪协议,就是php支持的协议和封装协议
比较常见的php协议有:
file:// 访问本地文件系统
php:// 访问各个输入/输出流
data:// 数据
zip:// 压缩流
但是需要注意的是,当使用网络路径进行访问时,需要allow_url_fopen和allow_url_include都为ON
二、file伪协议
作用:展现本地文件系统
在CTF中一般用来读取本地文件或者执行php脚本(绝对路径和相对路径都可以),但是当导入的文件不是php文件时,仍会按照php语法进行解析。
例:使用file://伪协议去包含本地的phpinfo.php和flag.txt
源码:
<?php
$file=$.GET['file'];
include $file;
payload:
?file+file://E\phpinfo.php
?file=../flag.txt
?file=http://127.0.0.1/flag.txt
三、php伪协议
作用:访问各个输入输出流
在CTF中经常用到php://filter和php://input
php://filter: 用来读取源码(php文件源码)
php://input: 用来执行php代码(通常以post形式,post一段代码上去执行)
参数详解
参数 | 描述 |
---|---|
resource=<要过滤的数据流> | 必须项。它指定了你要筛选的过滤的数据流 |
read=<读链的过滤器> | 可选项,可以设定一个或者多个过滤器名称 |
write=<写链的过滤器> | 可选项。可以设定一个或多个过滤器名称 |
<;俩个链的过滤器> | 任何没有以read= 或write = 作为前缀的筛选器列表会视情况应用于读或者写链 |
转换过滤器 | 作用 |
---|---|
convert.base64-encode&convert.base64-decode | 等同于base64_encode( )和base64_decode( ) ,base64编码解码 |
conbert.quoted-printable-encode&convert.quoted-printable-decode | quoted-printable 字符串与8-bit字符串编码解码 |
例:读取fildprotocol.php文件源码:
?file=php://filter/read=convert.base64-encode/resource=./fileprotocol.php
四、zip:// & bzip2:// & zlib:// 协议
作用:zip:// & bzip2:// & zlib:// 都属于压缩流,可以访问压缩文件中的子文件,不需要指定后缀名,可以修改任意后缀
1.zip://[压缩文件绝对路径]#[压缩文件内的子文件名]
例:压缩phpinfo.txt为phpinfo.zip,将zip改为xxxx,包含里面的phpinfo.txt
源码:
<?phpinclude($.GET['file']);
payload:
?file=zip://D:\phpstudy.pro\www\php-audit\fake_protoclol\phpinfo.xxxx%23phpinfo.txt
五、data协议
注:需要allow_url_fopen和allow_url_include都为ON
作用:data://伪协议是数据封装器,传递相应格式的数据
通常可以用来执行PHP代码
用法如下:
data://text/plain,
data://text/plain;base64,
例:
源码:
<?php
$file=$.GET['file'];
include $file;
payload:
?file+data://text/plain,<?php%20phpinfo();?>
?file+data://text/plain;base64,PD9waHAlMjBwaHBpbmZvKCk7Pz4=
第二行后面是<?php%20phpinfo();?>base64编码格式
六、http://和https://协议
远程包含需要allow_url_fopen和allow_url_include都为ON
允许通过HTTP1.0的GET方法,以只读的方式访问文件或者资源
CTF中常用于远程包含
?file=http://127.0.0.1/phpinfo.txt