摘要:參考了這篇文章偽協(xié)議實現(xiàn)命令執(zhí)行的七種姿勢,并根據(jù)自己理解進行了總結(jié),也算是加深一下印象,方便以后使用。說明文件系統(tǒng)是使用的默認封裝協(xié)議,展現(xiàn)了本地文件系統(tǒng)。允許直接訪問指定的文件描述符。
參考了這篇文章:php偽協(xié)議實現(xiàn)命令執(zhí)行的七種姿勢,并根據(jù)自己理解進行了總結(jié),也算是加深一下印象,方便以后使用。file:// 協(xié)議
條件:
allow_url_fopen:off/on
allow_url_include :off/on
作用:
用于訪問本地文件系統(tǒng),在CTF中通常用來讀取本地文件的且不受allow_url_fopen與allow_url_include的影響。
include()/require()/include_once()/require_once()參數(shù)可控的情況下,如導(dǎo)入為非.php文件,則仍按照php語法進行解析,這是include()函數(shù)所決定的。
說明:
file:// 文件系統(tǒng)是 PHP 使用的默認封裝協(xié)議,展現(xiàn)了本地文件系統(tǒng)。當(dāng)指定了一個相對路徑(不以/、、或 Windows 盤符開頭的路徑)提供的路徑將基于當(dāng)前的工作目錄。在很多情況下是腳本所在的目錄,除非被修改了。使用 CLI 的時候,目錄默認是腳本被調(diào)用時所在的目錄。在某些函數(shù)里,例如 fopen() 和 file_get_contents(),include_path 會可選地搜索,也作為相對的路徑。
用法:
/path/to/file.ext relative/path/to/file.ext fileInCwd.ext C:/path/to/winfile.ext C:path owinfile.ext smbserversharepath owinfile.ext file:///path/to/file.ext
示例:
file://[文件的絕對路徑和文件名]
http://127.0.0.1/include.php?file=file://E:phpStudyPHPTutorialWWWphpinfo.txt
[文件的相對路徑和文件名]
http://127.0.0.1/include.php?file=./phpinfo.txt
[http://網(wǎng)絡(luò)路徑和文件名]
http://127.0.0.1/include.php?file=http://127.0.0.1/phpinfo.txt
參考:http://php.net/manual/zh/wrappers.file.php
php:// 協(xié)議
條件:
allow_url_fopen:off/on
allow_url_include :僅php://input php://stdin php://memory php://temp 需要on
作用:
php:// 訪問各個輸入/輸出流(I/O streams),在CTF中經(jīng)常使用的是php://filter和php://input,php://filter用于讀取源碼,php://input用于執(zhí)行php代碼。
說明:
PHP 提供了一些雜項輸入/輸出(IO)流,允許訪問 PHP 的輸入輸出流、標(biāo)準(zhǔn)輸入輸出和錯誤描述符,
內(nèi)存中、磁盤備份的臨時文件流以及可以操作其他讀取寫入文件資源的過濾器。
協(xié)議 | 作用 |
---|---|
php://input | 可以訪問請求的原始數(shù)據(jù)的只讀流,在POST請求中訪問POST的data部分,在enctype="multipart/form-data" 的時候php://input 是無效的。 |
php://output | 只寫的數(shù)據(jù)流,允許以 print 和 echo 一樣的方式寫入到輸出緩沖區(qū)。 |
php://fd | (>=5.3.6)允許直接訪問指定的文件描述符。例如 php://fd/3 引用了文件描述符 3。 |
php://memory php://temp | (>=5.1.0)一個類似文件包裝器的數(shù)據(jù)流,允許讀寫臨時數(shù)據(jù)。兩者的唯一區(qū)別是 php://memory 總是把數(shù)據(jù)儲存在內(nèi)存中,而 php://temp 會在內(nèi)存量達到預(yù)定義的限制后(默認是 2MB)存入臨時文件中。臨時文件位置的決定和 sys_get_temp_dir() 的方式一致。 |
php://filter | (>=5.0.0)一種元封裝器,設(shè)計用于數(shù)據(jù)流打開時的篩選過濾應(yīng)用。對于一體式(all-in-one)的文件函數(shù)非常有用,類似 readfile()、file() 和 file_get_contents(),在數(shù)據(jù)流內(nèi)容讀取之前沒有機會應(yīng)用其他過濾器。 |
php://filter參數(shù)詳解
該協(xié)議的參數(shù)會在該協(xié)議路徑上進行傳遞,多個參數(shù)都可以在一個路徑上傳遞。具體參考如下:
php://filter 參數(shù) | 描述 | |
---|---|---|
resource=<要過濾的數(shù)據(jù)流> | 必須項。它指定了你要篩選過濾的數(shù)據(jù)流。 | |
read=<讀鏈的過濾器> | 可選項。可以設(shè)定一個或多個過濾器名稱,以管道符(* | *)分隔。 |
write=<寫鏈的過濾器> | 可選項。可以設(shè)定一個或多個過濾器名稱,以管道符( | )分隔。 |
<; 兩個鏈的過濾器> | 任何沒有以 read= 或 write= 作前綴的篩選器列表會視情況應(yīng)用于讀或?qū)戞湣?/td> |
可用的過濾器列表(4類)
此處列舉主要的過濾器類型,詳細內(nèi)容請參考:https://www.php.net/manual/zh/filters.php
字符串過濾器 | 作用 |
---|---|
string.rot13 | 等同于str_rot13(),rot13變換 |
string.toupper | 等同于strtoupper(),轉(zhuǎn)大寫字母 |
string.tolower | 等同于strtolower(),轉(zhuǎn)小寫字母 |
string.strip_tags | 等同于strip_tags(),去除html、PHP語言標(biāo)簽 |
轉(zhuǎn)換過濾器 | 作用 |
---|---|
convert.base64-encode & convert.base64-decode | 等同于base64_encode()和base64_decode(),base64編碼解碼 |
convert.quoted-printable-encode & convert.quoted-printable-decode | quoted-printable 字符串與 8-bit 字符串編碼解碼 |
壓縮過濾器 | 作用 |
---|---|
zlib.deflate & zlib.inflate | 在本地文件系統(tǒng)中創(chuàng)建 gzip 兼容文件的方法,但不產(chǎn)生命令行工具如 gzip的頭和尾信息。只是壓縮和解壓數(shù)據(jù)流中的有效載荷部分。 |
bzip2.compress & bzip2.decompress | 同上,在本地文件系統(tǒng)中創(chuàng)建 bz2 兼容文件的方法。 |
加密過濾器 | 作用 |
---|---|
mcrypt.* | libmcrypt 對稱加密算法 |
mdecrypt.* | libmcrypt 對稱解密算法 |
示例:
php://filter/read=convert.base64-encode/resource=[文件名]讀取文件源碼(針對php文件需要base64編碼)
http://127.0.0.1/include.php?file=php://filter/read=convert.base64-encode/resource=phpinfo.php
php://input + [POST DATA]執(zhí)行php代碼
http://127.0.0.1/include.php?file=php://input [POST DATA部分]
若有寫入權(quán)限,寫入一句話木馬
http://127.0.0.1/include.php?file=php://input [POST DATA部分] "); ?>
參考:https://php.net/manual/zh/wrappers.php.php
zip:// & bzip2:// & zlib:// 協(xié)議
條件:
allow_url_fopen:off/on
allow_url_include :off/on
作用:zip:// & bzip2:// & zlib:// 均屬于壓縮流,可以訪問壓縮文件中的子文件,更重要的是不需要指定后綴名,可修改為任意后綴:jpg png gif xxx 等等。
示例:
zip://[壓縮文件絕對路徑]%23[壓縮文件內(nèi)的子文件名](#編碼為%23)
壓縮 phpinfo.txt 為 phpinfo.zip ,壓縮包重命名為 phpinfo.jpg ,并上傳
http://127.0.0.1/include.php?file=zip://E:phpStudyPHPTutorialWWWphpinfo.jpg%23phpinfo.txt
compress.bzip2://file.bz2
壓縮 phpinfo.txt 為 phpinfo.bz2 并上傳(同樣支持任意后綴名)
http://127.0.0.1/include.php?file=compress.bzip2://E:phpStudyPHPTutorialWWWphpinfo.bz2
compress.zlib://file.gz
壓縮 phpinfo.txt 為 phpinfo.gz 并上傳(同樣支持任意后綴名)
http://127.0.0.1/include.php?file=compress.zlib://E:phpStudyPHPTutorialWWWphpinfo.gz
參考:http://php.net/manual/zh/wrappers.compression.php
data:// 協(xié)議
條件:
allow_url_fopen:on
allow_url_include :on
作用:自PHP>=5.2.0起,可以使用data://數(shù)據(jù)流封裝器,以傳遞相應(yīng)格式的數(shù)據(jù)。通常可以用來執(zhí)行PHP代碼。
用法:
data://text/plain, data://text/plain;base64,
示例:
data://text/plain,
http://127.0.0.1/include.php?file=data://text/plain,
data://text/plain;base64,
http://127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2bhttp:// & https:// 協(xié)議
條件:
allow_url_fopen:on
allow_url_include :on
作用:常規(guī) URL 形式,允許通過 HTTP 1.0 的 GET方法,以只讀訪問文件或資源。CTF中通常用于遠程包含。
用法:
http://example.com http://example.com/file.php?var1=val1&var2=val2 http://user:password@example.com https://example.com https://example.com/file.php?var1=val1&var2=val2 https://user:password@example.com
示例:
http://127.0.0.1/include.php?file=http://127.0.0.1/phpinfo.txtphar:// 協(xié)議
phar://協(xié)議與zip://類似,同樣可以訪問zip格式壓縮包內(nèi)容,在這里只給出一個示例:
http://127.0.0.1/include.php?file=phar://E:/phpStudy/PHPTutorial/WWW/phpinfo.zip/phpinfo.txt
另外在 Black Hat 2018 大會上,研究人員公布了一款針對PHP應(yīng)用程序的全新攻擊技術(shù):phar://協(xié)議對象注入技術(shù)。
因為該利用點需要滿足一定的條件才能利用,可以參考下面這篇文章,里面的demo也非常詳細,留作以后專門研究一下。
參考文章:seebug - 利用 phar 拓展 php 反序列化漏洞攻擊面
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/31340.html
摘要:可以在主進程中拋出一個子進程,子進程中實現(xiàn)的自動發(fā)現(xiàn),子進程偵察到節(jié)點數(shù)據(jù)變化時,主動通知主進程。架構(gòu)的整體思路是子進程實現(xiàn)的自動發(fā)現(xiàn),主進程維護一個節(jié)點數(shù)據(jù)的共享變量,其他服務(wù)要想使用節(jié)點數(shù)據(jù)時,從主進程中獲取。 php是當(dāng)下最流行的web服務(wù)器端語言,zookeeper是大型分布式協(xié)同工具,本文在這里介紹一種架構(gòu)實現(xiàn)php服務(wù)器對于zookeeper數(shù)據(jù)變化的自動監(jiān)聽 一.問題背景...
閱讀 1015·2021-09-26 09:55
閱讀 3556·2021-09-24 10:30
閱讀 1364·2021-09-08 09:36
閱讀 2552·2021-09-07 09:58
閱讀 603·2019-08-30 15:56
閱讀 764·2019-08-29 18:32
閱讀 3593·2019-08-29 15:13
閱讀 1840·2019-08-29 13:49