[WEB安全]PHP僞協議總結

0x01 簡介

首先來看一下有哪些文件包含函數：

include、require、include_once、require_once、highlight_file
show_source 、readfile 、file_get_contents 、fopen 、file

有哪些僞協議：

file:// — 訪問本地文件系統
http:// — 訪問 HTTP(s) 網址
ftp:// — 訪問 FTP(s) URLs
php:// — 訪問各個輸入/輸出流（I/O streams）
zlib:// — 壓縮流
data:// — 數據（RFC 2397）
glob:// — 查找匹配的文件路徑模式
phar:// — PHP 歸檔
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音頻流
expect:// — 處理交互式的流

0x02 詳細解讀

2.1 php://filter

php://filter用於讀取源碼，php://input用於執行php代碼

?page=php://filter/read=convert.base64-encode/resource=../flag.php

2.2 file://協議

用於訪問本地文件系統，不受allow_url_fopen與allow_url_include的影響

即file:// [文件的絕對路徑和文件名]

?path=file:///var/www/html/flag.txt

2.3 php://input

php://input 能夠訪問請求的原始數據的只讀流, 將post請求中的數據做爲PHP代碼執行

php://input 能夠用來生成一句話

利用該方法，咱們能夠直接寫入php文件，輸入file=php://input，而後使用burp抓包，寫入php代碼：

2.4 data://協議

利用data:// 僞協議能夠直接達到執行php代碼的效果，例如執行phpinfo()函數：

若是此處對特殊字符進行了過濾，咱們還能夠經過base64編碼後再輸入：

?page=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

2.5 zip://, bzip2://, zlib://協議

zip://, bzip2://, zlib:// 均屬於壓縮流，能夠訪問壓縮文件中的子文件，不須要指定後綴名

若是網站容許咱們上傳壓縮文件，咱們也能夠將php文件壓縮後進行上傳，再經過zip://協議執行。

以DVWA平臺爲例，咱們將phpinfo.php文件進行壓縮後上傳：

經過zip://協議執行zip壓縮包中的phpinfo.php文件：

0x03 總結

page=dict://127.0.0.1:80 #探測端口開放
page=gopher://127.0.0.1:6379/payload #對redis服務進行getshell等操做

文件包含漏洞防禦: 1.使用str_replace等方法過濾掉危險字符 2.配置open_basedir，防止目錄遍歷 3.php版本升級，防止%00截斷 4.對上傳的文件進行重命名，防止被讀取 5.對於動態包含的文件能夠設置一個白名單，不讀取非白名單的文件 6.作好管理員權限劃分，作好文件的權限管理

0x04 參考連接

http://j0k3r.top/2018/04/07/php-wxy/ https://blog.csdn.net/Monsterlz123/article/details/93964916