浅谈php://filter的妙用


Posted in PHP onMarch 05, 2019

php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也就只好提前分享一下。

XXE中的使用

php://filter之前最常出镜的地方是XXE。由于XXE漏洞的特殊性,我们在读取HTML、PHP等文件时可能会抛出此类错误parser error : StartTag: invalid element name 。其原因是,PHP是基于标签的脚本语言,<?php ... ?>这个语法也与XML相符合,所以在解析XML的时候会被误认为是XML,而其中内容(比如特殊字符)又有可能和标准XML冲突,所以导致了出错。

那么,为了读取包含有敏感信息的PHP等源文件,我们就要先将“可能引发冲突的PHP代码”编码一遍,这里就会用到php://filter。

php://filter是PHP语言中特有的协议流,作用是作为一个“中间流”来处理其他流。比如,我们可以用如下一行代码将POST内容转换成base64编码并输出:

readfile("php://filter/read=convert.base64-encode/resource=php://input");

如下:

浅谈php://filter的妙用

所以,在XXE中,我们也可以将PHP等容易引发冲突的文件流用php://filter协议流处理一遍,这样就能有效规避特殊字符造成混乱。

如下,我们使用的是php://filter/read=convert.base64-encode/resource=./xxe.php

浅谈php://filter的妙用

巧用编码与解码

使用编码不光可以帮助我们获取文件,也可以帮我们去除一些“不必要的麻烦”。

记得前段时间三个白帽有个比赛,其中有一部分代码大概类似于以下:

<?php
$content = '<?php exit; ?>';
$content .= $_POST['txt'];
file_put_contents($_POST['filename'], $content);

 $content在开头增加了exit过程,导致即使我们成功写入一句话,也执行不了(这个过程在实战中十分常见,通常出现在缓存、配置文件等等地方,不允许用户直接访问的文件,都会被加上if(!defined(xxx))exit;之类的限制)。那么这种情况下,如何绕过这个“死亡exit”?

幸运的是,这里的$_POST['filename']是可以控制协议的,我们即可使用 php://filter协议来施展魔法:使用php://filter流的base64-decode方法,将$content解码,利用php base64_decode函数特性去除“死亡exit”。

众所周知,base64编码中只包含64个可打印字符,而PHP在解码base64时,遇到不在其中的字符时,将会跳过这些字符,仅将合法字符组成一个新的字符串进行解码。

所以,一个正常的base64_decode实际上可以理解为如下两个步骤:

<?php
$_GET['txt'] = preg_replace('|[^a-z0-9A-Z+/]|s', '', $_GET['txt']);
base64_decode($_GET['txt']);

所以,当$content被加上了<?php exit; ?>以后,我们可以使用 php://filter/write=convert.base64-decode 来首先对其解码。在解码的过程中,字符<、?、;、>、空格等一共有7个字符不符合base64编码的字符范围将被忽略,所以最终被解码的字符仅有“phpexit”和我们传入的其他字符。

“phpexit”一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,"phpexita"被正常解码,而后面我们传入的webshell的base64内容也被正常解码。结果就是<?php exit; ?>没有了。

最后效果是 :

浅谈php://filter的妙用

利用字符串操作方法

有的同学说,base64的算法我不懂,上面的方法太复杂了。

其实,除了使用base64特性的方法外,我们还可以利用php://filter字符串处理方法来去除“死亡exit”。我们观察一下,这个<?php exit; ?>实际上是什么?

实际上是一个XML标签,既然是XML标签,我们就可以利用strip_tags函数去除它,而php://filter刚好是支持这个方法的。

编写如下测试代码即可查看 php://filter/read=string.strip_tags/resource=php://input 的效果:

echo readfile('php://filter/read=string.strip_tags/resource=php://input');

浅谈php://filter的妙用

可见,<?php exit; ?>被去除了。但回到上面的题目,我们最终的目的是写入一个webshell,而写入的webshell也是php代码,如果使用strip_tags同样会被去除。

万幸的是,php://filter允许使用多个过滤器,我们可以先将webshell用base64编码。在调用完成strip_tags后再进行base64-decode。“死亡exit”在第一步被去除,而webshell在第二步被还原。

最终的数据包如下:

浅谈php://filter的妙用

除此之外,我们还可以利用rot13编码独立完成任务。原理和上面类似,核心是将“死亡exit”去除。<?php exit; ?>在经过rot13编码后会变成<?cuc rkvg; ?>,在PHP不开启short_open_tag时,php不认识这个字符串,当然也就不会执行了:

浅谈php://filter的妙用

当然,这个方法的条件就是不开启短标签。

以上就是关于php://filter的妙用的疑惑全部内容,感谢大家对三水点靠木的支持。

PHP 相关文章推荐
php AJAX实例根据邮编自动完成地址信息
Nov 23 PHP
php checkbox 取值详细说明
Aug 19 PHP
PHP遍历二维数组的代码
Apr 22 PHP
php数组函数序列之in_array() 查找数组值是否存在
Oct 29 PHP
基于magic_quotes_gpc与magic_quotes_runtime的区别与使用介绍
Apr 22 PHP
PHP抓屏函数实现屏幕快照代码分享
Jan 02 PHP
一个php短网址的生成代码(仿微博短网址)
May 07 PHP
浅谈Eclipse PDT调试PHP程序
Jun 09 PHP
PHP响应post请求上传文件的方法
Dec 17 PHP
CI框架整合widget(页面格局)的方法
May 17 PHP
PHP基于IMAP收取邮件的方法示例
Aug 07 PHP
php学习笔记之字符串常见操作总结
Jul 16 PHP
PHP实现微信小程序用户授权的工具类示例
Mar 05 #PHP
统计PHP目录中的文件数方法
Mar 05 #PHP
PHP常见字符串操作函数与用法总结
Mar 04 #PHP
php+Ajax处理xml与json格式数据的方法示例
Mar 04 #PHP
php+Ajax无刷新验证用户名操作实例详解
Mar 04 #PHP
实例介绍PHP删除数组中的重复元素
Mar 03 #PHP
PHP+Ajax简单get验证操作示例
Mar 02 #PHP
You might like
为什么那些咖啡爱好者大多看不上连锁咖啡店?
2021/03/06 咖啡文化
php 什么是PEAR?
2009/03/19 PHP
php imagecreatetruecolor 创建高清和透明图片代码小结
2010/05/15 PHP
PHP中调用ASP.NET的WebService的代码
2011/04/22 PHP
PHP图片验证码制作实现分享(全)
2012/05/10 PHP
php递归获取目录内文件(包含子目录)封装类分享
2013/12/25 PHP
php实现插入排序
2015/03/29 PHP
微信红包随机生成算法php版
2016/07/21 PHP
基于jQuery的弹出警告对话框美化插件(警告,确认和提示)
2010/06/10 Javascript
javascript showModalDialog 内跳转页面的问题
2010/11/25 Javascript
javascript 快速排序函数代码
2012/05/30 Javascript
js动态添加事件并可传参数示例代码
2013/10/21 Javascript
更快的异步执行(setTimeout多浏览器)
2014/08/12 Javascript
JavaScript fontcolor方法入门实例(按照指定的颜色来显示字符串)
2014/10/17 Javascript
如何解决谷歌浏览器下jquery无法获取图片的尺寸
2015/09/10 Javascript
JS实现无限级网页折叠菜单(类似树形菜单)效果代码
2015/09/17 Javascript
Bootstrap导航栏各元素操作方法(表单、按钮、文本)
2015/12/28 Javascript
JavaScript实现输入框(密码框)出现提示语
2016/01/12 Javascript
jquery 实现滚动条下拉时无限加载的简单实例
2016/06/01 Javascript
最佳的JavaScript错误处理实践
2016/07/16 Javascript
JS获取一个表单字段中多条数据并转化为json格式
2017/10/17 Javascript
jquery操作select常见方法大全【7种情况】
2019/05/28 jQuery
Node.js使用MongoDB的ObjectId作为查询条件的方法
2019/09/10 Javascript
Vue中避免滥用this去读取data中数据
2021/03/02 Vue.js
[47:52]完美世界DOTA2联赛PWL S2 PXG vs InkIce 第二场 11.26
2020/11/30 DOTA
LRUCache的实现原理及利用python实现的方法
2017/11/21 Python
简单了解python模块概念
2018/01/11 Python
python通过配置文件共享全局变量的实例
2019/01/11 Python
Python使用pymongo库操作MongoDB数据库的方法实例
2019/02/22 Python
python中前缀运算符 *和 **的用法示例详解
2020/05/28 Python
应届生简历中的自我评价
2014/01/13 职场文书
英语生日邀请函
2014/01/23 职场文书
护士长2014年终工作总结
2014/11/11 职场文书
保安辞职信范文
2015/02/28 职场文书
暂住证证明
2015/06/19 职场文书
幼儿园安全教育随笔
2015/08/14 职场文书