php伪协议2
文章目录
-
- 前言
- php://filter
-
- filter绕过死亡die,死亡之exit
- php://input
- zip://,bzip2://,zlib://
- data协议
- 总结
前言
本文重点是在php://filter协议中,其他协议只是回忆下
php://filter
php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。这对于一体式(all-in-one)的文件
函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过
滤器。
filter有一个可以筛选,并且有过滤作用的数据流
resource=<要过滤的数据流> 这个参数是必须的。它指定了你要筛选过滤的数据流。
read=<读链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
write=<写链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。
常见的写法
没有加密的过滤
file=php://filter/resource=flag.php
base64加密
file=php://filter/read=convert.base64-encode/resource=flag.php
file=php://filter/convert.base64-encode/resource=flag.php
然而除了这conver.base64-encode以外,还有其他的编码可以过滤。
?file=php://filter/read=convert.iconv.UCS-2LE.UCS-2BE/resource=flag.php
其他有关PHP支持的字符编码官方文档如下:PHP: 支持的字符编码 - Manual
filter绕过死亡die,死亡之exit
参考文章
https://blog.csdn.net/qq_38154820/article/details/120232262?spm=1001.2014.3001.5501
https://xz.aliyun.com/t/8163
https://www.leavesongs.com/PENETRATION/php-filter-magic.html
补充:
读取响应文件路径的文件内容:
readfile(string $filename, bool $use_include_path = false, resource $context = ?): int
读取文件并写入到输出缓冲
成功时返回从文件中读入的字节数, 或者在失败时返回 false
file(string $filename, int $flags = 0, resource $context = ?): array
把整个文件读入一个数组中
函数返回数组形式的文件内容,失败时返回false
file_get_contents():
将整个文件读入一个字符串
函数返回读取到的字符串数据, 或者在失败时返回 false
base64的解码范围:0-9,a-z,A-Z,+,/
php://input
php://input 是个可以访问请求的原始数据的只读流,可以将POST中的数据,读取出来,在CTF中可以在POST传马或者进行命令执行,从而达到目的。
案例1:
测试代码
$d = file_get_contents('php://input');
//echo $d;
@eval($d)
?>
通过在POST传入命令,system(“whoami”),可以达到效果
案例二:
include($_GET[“file”]);
?>
get参数:?file=
总的来说就是将POST的数据读取出来,去实现一些功能。
zip://,bzip2://,zlib://
zlib: 的功能类似 gzopen(),但是 其数据流还能被 fread() 和其他文件系统函数使用。 自 PHP 4.3.0 后这个不建议被使用,因为会和其他带“:”字符的文件名混淆; 请使用 compress.zlib:// 作为替代。
compress.zlib://、 compress.bzip2:// 和 gzopen()、bzopen() 是相等的。并且可以在不支持 fopencookie 的系统中使用。
可选项
zlib://file.gz
bzip2://file.bz2
zip://archive.zip#dir/file.txt
总的来水就是可以通过上面的几个伪协议直接访问压缩包里的文件。
- zip://
将phpinfo.txt压缩成zip,实战中可以改后缀为jpg绕过上传限制。
http://localhost/1.php?file=zip://E:\phpStudy\phpstudy_pro\WWWphpinfo.jpg%23phpinfo.txt
注意要用绝对路径+url编码#
2. zlib://,bzip2://
http://localhost/1.php?file=compress:zlib://E:\phpStudy\phpstudy_pro\WWWphpinfo.jpg%23phpinfo.txt
data协议
跟php://input一样的,一般有:
data://text/plain,代码
data://text/plain;base64,base64加密的代码
总结
