前言
在CTF题目中文件包含和伪协议使用也是常见的一类题目,常见的主要使用include()、require()等函数与其搭配产生可利用的漏洞或命令执行。
0x01 什么是文件包含
在开发的过程中,开发人员为了更好地使用代码的重用性,不重复的去编写一部分函数,从而引入了文件包含函数,通过文件包含函数将文件包含进来,使用包含文件的代码,降低开发的代码工作量,在同一个文件里面可以包含另外一个或多个文件进而使用他们内部定义的函数。
0x02 文件包含漏洞
在文件包含的过程中,如果没有对可包含的文件类型、用户可控的范围做明确的限制,将会导致预期之外的文件被包含进来,从而导致敏感信息的泄露,严重的甚至包含危险文件、造成命令执行。
0x03 php伪协议
伪协议是php中支持与封装的协议总和,包含很多类型,常见的有:
file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流(I/O streams)
zlib:// — 压缩流
data:// — 数据(RFC 2397)
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流
在CTF中,经常使用file://、php://、data://三种伪协议搭配不同环境来考查选手对这一知识的掌握,其中,每一种协议由它们各自的协议头和转换器构成,通过拼接的方式告诉服务器用户传入什么协议类型的的数据,数据该如何去解析。例如:
1.file://协议
file://用于访问本地文件系统,读取本地文件,且不受allow_url_fopen与allow_url_include设置的影响,当不指定需要包含文件的绝对路径时,默认为该脚本存在的路径。
<?php
$file = $_GET['file'];
if ($file){
echo $file,"<br/>";
include($file);
}
?>
当包含指定的flag.php文件时,传入?file=flag.php,内容为ook!,返回:
flag.php
oko!
此时,路径从当前目录开始,当传入绝对路径时,直接从路径中寻找,如?file=D:\phpStudy\WWW\flag.php,返回:
D:\\phpStudy\\WWW\\flag.php
oko!
2.php://协议
php://协议下分为很多种,其中最常见为php://filter和php://input,filter用于读取文件源码,一般将结果使用base64加密,不然被执行后无法看到文件内容了,而input则用于将用户的输入当作php代码进行执行。
2.1php://filter协议
其基本参数为:
resource=<要过滤的数据流> 必须。它指定了你要筛选过滤的数据流。
read=<读链的筛选列表> 可选。可以设定一个或多个过滤器名称,以管道符(|)分隔
write=<写链的筛选列表> 可选。可以设定一个或多个过滤器名称,以管道符(|)分隔
<;两个链的筛选列表> 任何没有以 read= 或 write= 作前缀的筛选器列表会视情况应用于读或写链。
常用的过滤器有:
string.rot13 等同str_rot13(),rot13变换
string.toupper 等同str_toupper(),转大写
string.tolower 等同str_tolower(),转小写
string.strip_tags 等同strip_tags(),去处html、php标签
convert.base64-encode&convert.base64-decode 等同base64_encode()和base64_decode(),base64编码解码
convert.quoted-printable-encode & convert.quoted-printable-decode quoted-printable 字符串与 8-bit 字符串编码解码
还有一些加密和压缩的过滤器在此不多提及。
filter方法的一般用法为:
- 直接读文件
php://filter/resource=flag.php
输出:
php://filter/resource=flag.php
oko!
- 加密文件内容
php://filter/read=convert.base64-encode/resource=flag.php
输出:
php://filter/read=convert.base64-encode/resource=flag.php
b2tv
这里可以看到其基本格式为
协议头(php://filter)+/read(write)=过滤器(可选)+/resource=文件名(必须)
2.2php://input协议
php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。
其用法为:
?file=php://input
POST: <?php system('ls');?>
3.data://协议
PHP>=5.2.0起,可以使用data://数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码。一般需要用到base64编码传输,避免某些特殊字符无法被浏览器解析。此时要求
allow_url_fopen:on
allow_url_include :on
php>V5.2
其用法为:
- 传输明文
?file=data://text/plain,<?php phpinfo()?> - 传输base64编码内容
?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
由此可见,其格式为:协议头(data://)+text/plain(;base64,)+ 明(密)文,需要注意的是,最后紧挨传输数据的符号是逗号,。如果有编码方式,则使用分号;隔开。
4 例题
参考攻防世界-Web_php_include题目解法。
<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
$page=str_replace("php://", "", $page);
}
include($page);
?>
使用PHP://input流post数据,或使用 data://text/plain;base64,xxxxxxxxxxxxx都可以完成题目。
