利用文件操作函数结合PHP伪协议RCE

最新推荐文章于 2025-02-09 20:11:35 发布
最新推荐文章于 2025-02-09 20:11:35 发布
阅读量1.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: ctfweb php 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013457794/article/details/89010272
本文分析了一种利用PHP伪协议实现远程命令执行(RCE)的思路。通过研究源码,了解到POST参数log和domain用于生成文件,其中文件名包含服务器名,内容经过特殊字符转义。由于escapeshellarg()和htmlspecialchars()的限制,直接的命令注入被阻止。解决方案是使用BASE64编码绕过内容过滤,通过伪协议解析文件内容并写入新文件,同时利用HOST请求头绕过后缀名过滤。最后给出了具体的payload构建过程和利用方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. 获得源码:http://ip:port/?read-source=1

     <?php
 if(isset($_GET['read-source'])) {
     exit(show_source(__FILE__));
 }
 define('DATA_DIR', dirname(__FILE__) . '/data/' . md5($_SERVER['REMOTE_ADDR']));
 if(!is_dir(DATA_DIR)) {
     mkdir(DATA_DIR, 0755, true);
 }
 chdir(DATA_DIR);
 $domain = isset($_POST['domain']) ? $_POST['domain'] : '';
 $log_name = isset($_POST['log']) ? $_POST['log'] : date('-Y-m-d');
    
 $command = sprintf("dig -t A -q %s", escapeshellarg($domain));
 $output = shell_exec($command);
 $output = htmlspecialchars($output, ENT_HTML401 | ENT_QUOTES);

 $log_name = $_SERVER['SERVER_NAME'] . $log_name;
 if(!in_array(pathinfo($log_name, PATHINFO_EXTENSION), ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'], true)) {
     file_put_contents($log_name, $output);
 }
 echo $output;

  2. 解题思路:

    1. 源码分析,可知我们当前路径是在/data/md5($_SERVER['REMOTE_ADDR'])下。通过POST我们可以传入两个参数:
最低0.47元/天 解锁文章

200万优质内容无限畅学
php伪协议漏洞_【渗透技巧】PHP伪协议的多种利用场景
weixin_39974932的博客
12-22 1036
0x00 前言 PHP中有很多内置URL风格的伪协议,本文以实际案例出发,详细介绍PHP伪协议在渗透测试实战中的多种利用场景0x01 场景1 CSRF一些开发人员在防御csrf的攻击时,仅判断referer是否为来源域名,没有考虑referer为空的情况。利用data伪协议可以将referer置为空,绕过csrf的防御。下面以dvwa环境中的csrf漏洞举例:将存在判定re...
CTFHUB--RCE--文件包含
qq_75120258的博客
03-02 1131
有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。当它与包含函数结合时,php://filter经常会被当作代码呗执行,所以我们通常会对他进行BASE64编码。file=php://filter/resource=/flag 得到flag。php:// — 访问各个输入/输出流(I/O streams)data://text/plain 任意代码执行。zlib:// — 压缩流。
PHP伪协议的妙用
蚁景网安学院
09-10 1579
filter协议的简单利用php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()...
PHPrce函数,Thinkphp5-1-2-RCE简单分析
weixin_30332165的博客
04-12 517
前言上次出的洞是接近元旦吧,好像刚从南京回学校,要准备烦人的期末,没心思分析,前天我刚考完,今天刚爆的洞洞貌似。然后自己跟着调试了一下。漏洞细节这是复现图前提是要在index.php中禁止报错,其实在生产环境中,开发也会这么做。漏洞点在\thinkphp\library\think\Request.php中的method函数:public function method($origin = fal...
ctfhub--ctf--web--RCE(1.eval执行2.文件包含3.常见伪协议用法4.php://input5.远程包含6.读取源代)
feiniaotjx的博客
10-05 703
RCE1.eval执行2.文件包含3.php://input 1.eval执行 request接受post和get请求,接受cmd参数 使用远程系统命令遍历目录 查看文件 2.文件包含 需要传一个file参数,不能为flag,存在shell.txt,可连接shell,故可以访问?file=shell.txt 之后post提交ctfhub=system('cat /flag');查看flag 3.php://input ...
PHP伪协议精讲(文件包含漏洞)
2301_76251460的博客
07-21 1075
PHP伪协议
文件包含伪协议
03-23
根据引用[2],PHP伪协议是支持的协议与封装协议,用于文件系统函数,比如fopen()、file_exists()等。常见的有file://、php://、zip://等。使用场景可能包括文件包含、读取资源、数据流处理等。比如在CTF比赛中,选手...
恶意 PHP 伪协议
最新发布
04-03
PHP 支持多种伪协议 (pseudo-protocols),这些协议可以用于文件读取、网络请求以及其他功能。然而,如果开发者未对输入数据进行严格的验证和过滤,则可能导致严重的安全隐患,例如远程代码执行 (RCE) 或本地/远程...
WEB攻防-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
weixin_45534587的博客
02-09 975
RCE,全称 Remote Code Execution,也就是远程代码执行。简单来说,它是一种非常危险的安全漏洞。正常情况下,我们访问一个网站或者使用某个应用程序,只能按照开发者设定好的功能来操作。但要是存在 RCE 漏洞,攻击者就能打破这种限制,在目标服务器上执行他们自己编写的代码。
003-漏洞梳理篇之php伪协议
weixin_44508748的博客
08-22 6114
PHP伪协议指的是PHP所支持的协议与封装协议(共12种),在web渗透漏洞利用中常用于配合文件包含进行web攻击,从而获取网站权限。 环境概要: php.ini配置文件参数: allow_url_fopen :on #默认开启 ,表示允许url里的封装协议访问文件; allow_url_include:off #默认关闭,表示不允许包含url里的封装协议包含文件; ...
file_get_contents() 函数详解与使用
热门推荐
wangxuanyang_zer的博客
11-27 1万+
file_get_contents() 函数PHP 中一个功能丰富、易于使用函数,可以用于文件操作和发起 HTTP 请求。通过深入理解该函数使用方法,我们可以更高效地处理文件读取和远程资源获取任务。同时,使用上下文选项和其他相关函数,可以使 file_get_contents() 更加灵活和强大。在实际应用中,根据需求的不同,我们可以选择合适的方式来充分发挥其优势,提高代码的可维护性和效率。两个字 🐮 🍺 各位大佬来个三连支持一下。
[php知识点]PHP伪协议
Landasika的博客
05-17 9367
目录 一、前言1、什么是PHP伪协议2、什么时候用PHP伪协议include和require函数include和include_once的区别(require与require_once的区别)highlight_file()和show_source()readfile和file_get_contents和filefile_put_contentsfopen二、PHP伪协议file://...
file_get_contents和include学习笔记
m0_56059226的博客
08-11 1503
首先要了解 file_get_contents() 把整个文件读入一个字符串中。 该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。 当文件里的内容存在php的内容的时候,他不会执行php里面的内容,也不会打印在页面上,他会放在f12后的元素中的注释里,像是这样 只是打印出了数字的部分在页面上,要查看php的内容需要f12打开看,这里也可以用伪协议去读取 ...
php无参数函数实现rce,浅谈无参数RCE
weixin_30568317的博客
04-02 2099
0x00 前言这几天做了几道无参数RCE的题目,这里来总结一下,以后忘了也方便再捡起来。首先先来解释一下什么是无参数RCE:形式:if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { eval($_GET['code']);}preg_replace('/[a-z]+((?R)?)/', NULL, $code)pre_ma...
file_get_contents() 404 的问题?
qq_39905620的博客
11-06 1214
今天遇到个问题,使用file_get_contents()获取文件,发现报错啦,然后单独把指定的url链接拿出来访问,这时发现这个url竟然返回404。 通过不懈努力的查阅终于找到了解决方法 解决方法: 在file_get_contents()前面加一个@符号,就可以检测出你的url是否是有问题的啦。 若是url有问题,则直接返回false; $url = "xxx.xxx.xxx" $file = @file_get_contents($url) if(!$file) { echo "你的url有问题"
php漏洞函数
静水流深,沧笙踏歌
05-17 455
之前也遇到过一些,就是老忘。。 1.strcmp int strcmp ( string $str1 , string $str2 ) 参数 str1第一个字符串。str2第二个字符串。 如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0; 如果两者相等,返回 0。 当其中一个是字符串,另一个是数组时,则会返回0. ...
PHPRCE
m0_63045593的博客
04-22 1049
PHPRCE <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $store
PHP伪协议
qq_62604985的博客
07-10 1547
php伪协议,就是php支持的协议和封装协议file:// 访问本地文件系统php:// 访问各个输入/输出流data:// 数据zip:// 压缩流但是需要注意的是,当使用网络路径进行访问时,需要allow_url_fopen和allow_url_include都为ON。
再谈Laravel Debug mode RCE(CVE-2021-3129)漏洞
wangluoanquan111的博客
08-10 3950
Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值