php伪左券贯彻命令实行的多种姿势

Example 1: Use php://input to read the POST data 

由于#在get请求中会将后面的参数忽略所以使用get请求时候应进行url编码为%23,且此处经过测试相对路径是不可行,所以只能用绝对路径。

关于php支持的协议与封装协议总结(推荐),php封装

前言

当今web程序的开发技术真是百家争鸣,ASP.NET, PHP, JSP,Perl, AJAX 等等。
无论Web技术在未来如何发展,理解Web程序之间通信的基本协议相当重要,
因为它让我们理解了Web应用程序的内部工作。

PHP 带有很多内置 URL 风格的封装协议,可用于类似 fopen()、 copy()、
file_exists() 和 filesize() 的文件系统函数。 除了这些封装协议,还能通过
stream_wrapper_register() 来注册自定义的封装协议。

Note: 用于描述一个封装协议的 URL 语法仅支持 scheme://… 的语法。
scheme:/ 和 scheme: 语法是不支持的。

php协议类型

  • file:// — 访问本地文件系统
  • http:// — 访问 HTTP(s) 网址
  • ftp:// — 访问 FTP(s) URLs
  • php:// — 访问各个输入/输出流(I/O streams)
  • zlib:// — 压缩流
  • data:// — 数据(RFC 2397)
  • glob:// — 查找匹配的文件路径模式
  • phar:// — PHP 归档
  • ssh2:// — Secure Shell 2
  • rar:// — RAR
  • ogg:// — 音频流
  • expect:// — 处理交互式的流

PHP.ini

  • allow_url_fopen :on 默认开启 该选项为on便是激活了 URL 形式的
    fopen 封装协议使得可以访问 URL 对象文件等。
  • allow_url_include:off 默认关闭,该选项为on便是允许 包含URL
    对象文件等

file://协议

file:// —
访问本地文件系统,不受allow_url_fopen与allow_url_include的影响

图片 1

使用方法

file:// [文件的绝对路径和文件名]

http://127.0.0.1/code/1.php?file=file:///E:phpStudyWWWcodephpinfo.php

图片 2

php://协议

php:// — 访问各个输入/输出流(I/O streams)

不需要开启allow_url_fopen,仅php://input、 php://stdin、 php://memory
和 php://temp 需要开启allow_url_include。

php://stdin, php://stdout 和
php://stderr

php://stdin、php://stdout 和 php://stderr 允许直接访问 PHP
进程相应的输入或者输出流。

php://stdin 是只读的, php://stdout 和 php://stderr 是只写的。

php://stdin

<?php
 while($line = fopen('php://stdin','r'))
 {//open our file pointer to read from stdin
 echo $line."n";
 echo fgets($line);//读取
 }
?>

图片 3

php://stdout

<?php
 $fd = fopen('php://stdout', 'w');
 if ($fd) {
 echo $fd."n";
 fwrite($fd, "test");
 fwrite($fd, "n");
 fclose($fd);
 }
?>

图片 4

php://stderr

<?php
 $stderr = fopen( 'php://stderr', 'w' );
 echo $stderr."n";
 fwrite($stderr, "uknow" );
 fclose($stderr);
?>

图片 5

php://filter

最常使用的一个伪协议,一般可以利用进行任意文件读取。

php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。
这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file()
和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。

参数

名称 描述
resource=<要过滤的数据流> 这个参数是必须的。它指定了你要筛选过滤的数据流。
read=<读链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称,以管道符分隔。
write=<写链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称,以管道符分隔。
<;两个链的筛选列表> 任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。
<?php
 include($_GET['file'])
?>

http://127.0.0.1/code/1.php?file=php://filter/read=convert.base64-encode/resource=./phpinfo.php

图片 6

图片 7

php://input

php://input 可以访问请求的原始数据的只读流,
将post请求中的数据作为PHP代码执行。

  • allow_url_fopen :off/on
  • allow_url_include:on

图片 8

zip://, bzip2://, zlib://协议

zip://, bzip2://, zlib://协议在双off的情况下也可以正常使用;

zip://, bzip2://, zlib://
均属于压缩流,可以访问压缩文件中的子文件,更重要的是不需要指定后缀名。

  • allow_url_fopen :off/on
  • allow_url_include:off/on

使用方法

zip://archive.zip#dir/file.txt

zip:// [压缩文件绝对路径]#[压缩文件内的子文件名]

测试

先将要执行的PHP代码写好文件名为phpcode.txt,将phpcode.txt进行zip压缩,压缩文件名为file.zip,如果可以上传zip文件便直接上传,若不能便将file.zip重命名为file.jpg后在上传,其他几种压缩格式也可以这样操作。

由于#在get请求中会将后面的参数忽略所以使用get请求时候应进行url编码为%23,且此处经过测试相对路径是不可行,所以只能用绝对路径。

http://127.0.0.1/code/1.php?file=zip://E:phpStudyWWWcode/1.zip%231.txt

图片 9

data://协议

data://协议必须双在on才能正常使用;

  • allow_url_fopen :on
  • allow_url_include:on

http://127.0.0.1/code/1.php?file=data://text/plain,<?php phpinfo()?>
http://127.0.0.1/code/1.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

图片 10

图片 11

glob://协议

glob:// — 查找匹配的文件路径模式

<?php
$it = new DirectoryIterator($_GET['file']);
foreach($it as $f) {
 printf("%s", $f->getFilename());
 echo'</br>'; 
}
?>

图片 12

expect://协议

expect:// — 处理交互式的流

该封装协议默认未开启

为了使用 expect:// 封装器,你必须安装 » PECL 上的 » Expect 扩展。

用法

expect://command

附:HTTP协议是无状态的和Connection:
keep-alive的区别

无状态是指协议对于事务处理没有记忆能力,服务器不知道客户端是什么状态。从另一方面讲,打开一个服务器上的网页和你之前打开这个服务器上的网页之间没有任何联系

HTTP是一个无状态的面向连接的协议,无状态不代表HTTP不能保持TCP连接,更不能代表HTTP使用的是UDP协议(无连接)

从HTTP/1.1起,默认都开启了Keep-Alive,保持连接特性,简单地说,当一个网页打开完成后,客户端和服务器之间用于传输HTTP数据的TCP连接不会关闭,如果客户端再次访问这个服务器上的网页,会继续使用这一条已经建立的连接

Keep-Alive不会永久保持连接,它有一个保持时间,可以在不同的服务器软件(如Apache)中设定这个时间

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对帮客之家的支持。

Reference

  • PHP
  • php伪协议实现命令执行的七种姿势

前言 当今web程序的开发技术真是百家争鸣,ASP.NET, PHP, JSP,Perl, AJAX
等等。 无论Web技术…

通常,用户要求在他们使用其他的文件系统函数的时候,php允许禁止URL包含和请求声明支持。

图片 13

不幸的是,allow_url_fopen和allow_url_include并不是导致问题的原因。一方面来说在应用中包含本地文件仍然是一件足够危险的事情,因为攻击者经常通过sessiondata,
fileupload, logfiles,…等方法获取php代码………

PHP.ini:

Example 2: Use data: to Include arbitrary code

测试现象:

<?php
// Insecure Include
// The following Include statement will
// include and execute the base64 encoded
// payload. Here this is just phpinfo()

include "data:;base64,PD9waHAgcGhwaW5mbygpOz8+";
?>

or

因为这个原因,计划在PHP6中提供allow_url_include。在这些讨论之后,这些特性在php5.2.0
中被backported。现在大多数的安全研究人员已经改变了他们的建议,只建议人们禁止allow_url_include。

[POST DATA]

另一方面allow_url_fopen和allow_url_include只是保护了against URL
handles标记为URL.这影响了http(s) and ftp(s)但是并没有影响php或date(new
in php5.2.0) urls.这些url形式,都可以非常简单的进行php代码注入。

compress.zlib://file.gz

<?php
// Insecure Include
// The following Include statement will
// include and execute everything POSTed
// to the server

include "php://input";
?>

PHP.ini:

把这些放到我们的运算里面将会非常明显的发现既不是url_allow_fopen也不是url_allor_include
被保障。这些只是因为过滤器很少对矢量进行过滤。能够100%解决这个URL
include vulnerabilities的方法是我们的Suhosin扩展.

使用方法:

因为这个原因,许多安全研究人员建议在php.ini配置中禁用指向allow_url_fopen。不幸的是,许多推荐这种方法的人,并没有意识到,这样会破坏很多的应用并且并不能保证100%的解决remote
URL includes以及他带来的不安全性。

data://协议必须双在on才能正常使用;

在php版本<=5.2中进行测试是可以使用%00截断的。

图片 14

PHP.ini:

本篇由以下这个简单的例子进行探讨,首先看如下两种文件包含情况。

首先归纳下常见的文件包含函数:include、require、include_once、require_once、highlight_file
、show_source 、readfile 、file_get_contents 、fopen
、file,计划对文件包含漏洞与php封装协议的利用方法进行总结,本篇先总结下一些封装协议,涉及的相关协议:file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、data://,后续再对每个文件包含函数进一步进行探讨。

,

参考自:,
官方文档上allow_url_fopen应为yes。

allow_url_include:on

php:// 访问各个输入/输出流(I/O
streams),在CTF中经常使用的是php://filter和php://input,php://filter用于读取源码,php://input用于执行php代码。

【zip://协议】

【zip://, bzip2://, zlib://协议】

PHP封装协议在CTF蛮常见的,是经常会遇到的出题点,如下便是对本篇涉及的封装协议进行的总结,期待小伙伴的交流和补充。

图片 15

先将要执行的PHP代码写好文件名为phpcode.txt,将phpcode.txt进行zip压缩,压缩文件名为file.zip,如果可以上传zip文件便直接上传,若不能便将file.zip重命名为file.jpg后在上传,其他几种压缩格式也可以这样操作。

图片 16

file:// 协议在双off的情况下也可以正常使用;

【php://协议】

也可以:

图片 17

zip://, bzip2://, zlib://协议在双off的情况下也可以正常使用;

【zlib://协议】

条件:

allow_url_include:off  默认关闭,该选项为on便是允许 包含URL
对象文件等。

发表评论

电子邮件地址不会被公开。 必填项已用*标注