PHP伪协议&漏洞利用原理

最新推荐文章于 2024-05-18 11:04:16 发布
最新推荐文章于 2024-05-18 11:04:16 发布
阅读量45 收藏
点赞数
文章标签: php 开发语言
原文链接:https://zhuanlan.zhihu.com/p/649396373
版权

支持伪协议的函数
include(); include_once(); require(); require_once();

文件包含类函数
include(文件名) ;
作用是如果文件名下的文件中有 PHP 代码,就会执行 PHP 代码,其他的部分直接输出
文件操作类函数
fopen(); file(); readfile(); file_get_contents(); ......
举个例子
file_get_contents(文件名);
作用是直接读出文件名下文件的内容
伪协议
file://
作用是访问本地文件系统
不受 allow_url_fopen 和 allow_url_include 影响
用法:
/path/to/file.ext relative/path/to/file.ext fileInCwd.ext C:/path/to/winfile.ext C:\path\to\winfile.ext \\smbserver\share\path\to\winfile.ext file:///path/to/file.ext
http:// https://
作用是访问 http(s)网址
文件操作函数需开启 allow_url_fopen,文件包含需同时开启 allow_url_include 和 allow_url_fopen。
用法:
http://example.com/file.php?var1=val1&var2=val2 http://user:password@example.com
可以自己搭建一个网站然后利用漏洞
ftp://
作用:访问 ftp(s)URLs
文件操作函数需开启 allow_url_fopen,文件包含需同时开启 allow_url_include 和
allow_url_fopen。
用法:
ftp://user:http://password@example.com/pub/file.txt ftps://http://example.com/pub/file.txt
php://
作用是访问各个输出输出流
php://input
可以访问请求的原始数据只读流
可以理解为这一串话整个是一个特殊的文件名,和 include 搭配的话,因为 include 可以读取文件名下的内容并且有 PHP 代码就执行,可是这个特殊的文件名是找不到的,所以我们就可以自己写文件内容
文件操作函数需开启 allow_url_fopen,文件包含需同时开启 allow_url_include 和
allow_url_fopen。
例题讲解:


做题首先要读懂代码
很明显,这个代码的意思就是说过滤 flag,如果没有 flag 就可以包含文件
具体怎么做呢?


上文所说,我们利用 php://input 可以自己写文件并且执行,那么我们可以传参 php://input 然后在下面写 PHP 代码


php://filter
php://filter 是一种元封装器,设计用于数据流打开时的筛选过滤应用
本地文件无论 allow_url_fopen,allow_url_include 是否开启都可以使用,allow_url_fopen 开启时文件操作函数里 resource 可以是远程的,allow_url_include 也开启包含 resource 才可以是远程的。
用法:
php://filter/read=convert.base64-encode/resource=c:/windows/win.ini
讲解一下每个部分的作用
read 是要执行的操作
convert.base64-encode 的意思是读出的内容经过一次 base64 编码
resource 后面跟的是读取内容的路径
参数(作为路径的一部分)

名称描述
resource=< 要过滤的数据流 >这个参数是必须的。它指定了你要筛选过滤的数据流。
read=< 读链的筛选列表 >该参数可选。可以设定一个或多个过滤器名称,以管道符(
write=< 写链的筛选列表 >该参数可选。可以设定一个或多个过滤器名称,以管道符(
<;两个链的筛选列表 >任何没有以 read= 或 write= 作前缀的筛选器列表会视情况应用于读或写链。

字符串过滤器

名称描述
string.rot13进行 rot13 转换
string.toupper将字符全部大写
string.tolower将字符全部小写
string.strip_tags去除空字符、HTML 和 PHP 标记后的结果

编码过滤器

convert.iconv.utf-8.utf-7将 utf-8 编码转换为 utf-7 编码,这样再继续使用 base64 编码写文件时候,不会因为特殊符号无法新建文件(windows)
convert.base64-encode/convert.base64-decodebase64 编码解码
convert.quoted-printable-encode/convert.quoted-printable-decodequoted-printable 编码解码

data://
数据流封装器,直接就是数据。
文件操作函数需开启 allow_url_fopen,文件包含需同时开启 allow_url_include 和
allow_url_fopen。
用法
data://text/plain, data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
第一个就直接执行后面的 PHP 代码,第二个的意思是将后面的一串经过 base64 解码后执行(用来绕过过滤)
例题讲解


这里编码完最后其实有一个 +,但是如果 + 不处理就无法执行,所以我们提前 url 编码一次,+ 的 url 编码是 %2b

VZS_0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
57-57.渗透测试-PHP相关函数和伪协议.mp4
05-10
57-57.渗透测试-PHP相关函数和伪协议.mp4
Web安全之PHP伪协议漏洞利用,以及伪协议漏洞防护方法
Scalzdp的专栏
11-13 1798
单纯看伪协议利用与之前的文件包含漏洞及其相似,但是在真实环境中是对用户输入进行了过滤替换的,在使用漏洞就需要不断考虑如何绕过这些过滤条件。只要我们开发过程中对于使用了伪协议这些函数的时候,一定要严格对用户参数进行过滤,避免一时偷懒导致服务器被黑,其实最终难逃其就。如有还不太理解或有其他想法的小伙伴们都可以私信我或评论区打出来哟,如有写的不好的地方也请大家多多包涵。
文件包含漏洞& 文件伪协议利用
cike_y
09-11 1625
可能你会问,为什么不是php后缀名而是txt格式,因为我尝试过了,如果是使用的是php格式,那么服务端访问的时候不仅不需要解析,而且只是单纯的访问我的php代码,执行的是我自己的脚本,而不是服务器。就有题目所说是远程包含漏洞,我也懒得测试了,可以发现输入百度链接的时候直接跳转,那么我们可以尝试构造一句话木马搭建在本地的服务,让文件包含解析到攻击者的文本文件而成功的触发到让脚本代码得到解析。我在测试的时候忘记了自己的网站服务是搭建在D盘里,而我的文件是在E盘所以我以为是我的文件包含代码写错了。
【网络安全篇】php伪协议-漏洞及其原理
贤鱼的博客
10-10 4082
php伪协议漏洞思路全解+例题
WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点
siu~
09-18 1401
1、SSRF-原理-外部资源加载 2、SSRF-利用-伪协议&无回显 3、SSRF-挖掘-业务功能&URL参数
php伪协议概述.pdf
02-24
PHP伪协议是一种特殊的URL协议,用于在PHP中进行文件操作。它允许在URL中指定文件路径,并通过内置的PHP函数来访问和操作文件内容。
深入浅出PHP伪协议原理与实践.txt
02-24
php伪协议
php伪协议.zipphp伪协议.zip
02-24
php伪协议php伪协议.zipphp伪协议.zip
PHP 伪协议大总结.docx
02-24
PHP 伪协议大总结.docx
如何同步管理1000个设备的VLAN数据?
weixin_68261415的博客
05-15 735
为了方便VLAN的配置和维护,可在部门A和部门B内分别部署VCMP,管理域分别为VCMP1和VCMP2,并选择汇聚交换机AGG1作为VCMP1的Sever,接入交换机ACC1~ACC2作为VCMP1的Client,汇聚交换机AGG2作为VCMP2的Server,接入交换机ACC3~ACC4作为VCMP2的Client。这样,只需在汇聚或核心交换机上创建、删除VLAN或修改VLAN的名称、描述,同域内的接入交换机会同步修改,进而实现VLAN的集中管理,降低配置和维护的工作量。
关于 struct sockaddr_in
weixin_73964834的博客
05-16 658
这个struct sockaddr_in 前三行有三个变量。
如何构建基因单倍型网络
最新发布
hgz2020的博客
05-18 582
单倍型分析
FebHost:为什么企业需要注册保加利亚.BG域名?
05-16 376
品牌本土化战略的实施同样离不开.BG域名的助力。拥有.BG域名的企业可以显著提高其在来自保加利亚的搜索请求中的可见度和排名,吸引更多的目标访问者,提升用户参与度。在当今全球化的商业环境中,对于与保加利亚市场息息相关的企业而言,选择合适的域名至关重要。面对日益饱和的通用顶级域名市场,.BG提供了一个具有区域特色的替代选择,帮助企业在保加利亚市场中树立一个鲜明且难忘的网络形象。综上所述,对于志在保加利亚市场塑造坚实网络地位的企业、组织或个人而言,.BG域名是一个明智且具有战略意义的选择,值得业界关注和利用。
等保测评实体分享three
ddcajdkdl的博客
05-16 926
它除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击的目标。NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。
春秋云境CVE-2022-25487
2303_76653367的博客
05-15 310
Atom CMS 2.0版本存在远程代码执行漏洞,该漏洞源于/admin/uploads.php 未能正确过滤构造代码段的特殊元素。攻击者可利用该漏洞导致任意代码执行。
春秋云境CVE-2023-50564
2303_76653367的博客
05-17 449
Pluck-CMS v4.7.18 中的 /inc/modules_install.php 组件,攻击者可以通过上传一个精心制作的 ZIP 文件来执行任意代码。
PHP黑魔法之既是0又是1/switch/$a==0可用.绕过(非数字都可绕过)/PHP://伪协议绕过
Thewei666的博客
05-16 406
php在处理数字时,如果数字的位数超过 16 位是可以弱等于1的,也就是因为当数字位数超过 16 位时,是将该数字转换成了数值为 1 的字符串进行处理在科学计数法中也有种特殊情况,0.1e1 是代表 0.1*10,而 .1e1 代表的也是 0.1*10 ,但在数组中时,由于 . 代表的是字符串,所以会于数组中变成 0 ,于 is_numeric 中有点则正常输出为数字。
NSSCTF中的1zjs、作业管理系统、finalrce、websign、简单包含、Http pro max plus、[鹤城杯 2021]EasyP
2401_82388450的博客
05-14 1081
1.php代码中要是有exec()函数,应该想到无回显的RCE2.遇到waf中的控制字符串长度,应该如何绕过3.了解到了http请求头中的其他参数,以及他们的作用。
php伪协议常用代码
08-05
常用的PHP伪协议代码包括: 1. 使用php://input执行PHP代码:这种方法可以通过将PHP代码作为POST数据传递,然后使用php://input伪协议来执行代码。例如,可以使用以下代码来执行phpinfo()函数并将结果输出到页面上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值