文章目录
引言
PHP伪协议是PHP中一种用于访问和操作不同类型数据资源的特殊机制。这些协议不仅限于文件系统操作,还包括网络流、压缩流等多种类型。然而,在PHP开发中,伪协议若被不当使用,可能会引发严重的安全漏洞,如敏感信息泄露、任意文件包含等。
什么是PHP伪协议
PHP伪协议,也称为封装协议,是PHP定义的一种特殊访问资源的方法。它们允许开发者在不直接操作物理文件的情况下,通过URL或其他标识符来访问和操作数据。这些协议常用于文件操作函数(如fopen(), file_get_contents(), include()等)中,以访问不同类型的资源。
常见的PHP伪协议
PHP支持多种伪协议,常见的包括:
- file://: 用于访问本地文件系统。
- http://,https://: 用于访问HTTP(s)网址。
- ftp://: 用于访问FTP(s) URLs。
- php://: 访问各个输入/输出流(I/O streams),包括
php://input、php://filter等。 - data://: 数据流封装器,允许将数据作为文件来访问。
- zip://,bzip2://,zlib://: 访问压缩文件中的子文件。
- phar://: 用于访问PHP归档文件。
PHP伪协议漏洞原理
在PHP开发中,如果开发者没有正确过滤用户输入,攻击者可以利用伪协议构造恶意URL,通过文件包含、文件读取等操作,访问服务器上的敏感文件或执行任意代码。
实际案例分析
案例一:利用php://filter读取敏感文件源码
场景描述:
假设有一个Web应用程序中存在一个文件包含漏洞,攻击者可以通过URL参数控制包含的文件。应用程序的源代码可能如下所示:
<?php
$file = $_GET['page'];
include($file . '.php');
?>
攻击方式:
攻击者可以构造一个特殊的URL,利用**php://filter**伪协议来读取服务器上的敏感文件源码,而不是直接执行该文件。例如:
http://example.com/vulnerable.php?page=php://filter/read=convert.base64-encode/resource=config
这个请求会导致config.php文件的内容被Base64编码后输出到页面上。攻击者随后可以对编码后的内容进行解码,以获取config.php文件的原始源码。
案例二:利用zip://协议执行压缩包中的恶意代码
场景描述:
在某些情况下,Web应用程序可能允许用户上传压缩文件,并在服务器端包含这些文件中的某个脚本执行。如果应用程序没有正确验证上传文件的类型或内容,攻击者可以利用zip://伪协议来执行压缩包中的恶意代码。
攻击方式:
- 攻击者首先创建一个包含恶意PHP代码的ZIP文件,例如
malicious.zip,其中包含一个名为shell.php的恶意脚本。 - 然后,攻击者将ZIP文件的后缀名更改为允许上传的类型,如
.jpg,并上传至服务器。 - 一旦文件被上传,攻击者可以构造一个URL,利用
zip://伪协议来包含并执行ZIP文件中的恶意脚本。例如:
http://example.com/include.php?file=zip://path/to/malicious.jpg%23shell.php
注意:URL中的%23是#字符的URL编码,用于指定ZIP文件内的子文件。
案例三:利用data://协议执行任意代码
场景描述:
在某些配置下(即allow_url_fopen和allow_url_include均被启用),攻击者可以利用**data://**伪协议来执行任意PHP代码。data://伪协议允许将数据作为文件来访问,攻击者可以构造一个包含PHP代码的data URL,并通过文件包含漏洞执行它。
攻击方式:
攻击者可以构造一个特殊的URL,如下所示:
http://example.com/vulnerable.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOyA/Pg==
这里的Base64编码字符串解码后是<?php phpinfo(); ?>,即执行phpinfo()函数的PHP代码。如果服务器的配置允许,这段代码将被执行,并显示PHP的配置信息。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
