浅谈php://filter的妙用


Posted in PHP onMarch 05, 2019

php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也就只好提前分享一下。

XXE中的使用

php://filter之前最常出镜的地方是XXE。由于XXE漏洞的特殊性,我们在读取HTML、PHP等文件时可能会抛出此类错误parser error : StartTag: invalid element name 。其原因是,PHP是基于标签的脚本语言,<?php ... ?>这个语法也与XML相符合,所以在解析XML的时候会被误认为是XML,而其中内容(比如特殊字符)又有可能和标准XML冲突,所以导致了出错。

那么,为了读取包含有敏感信息的PHP等源文件,我们就要先将“可能引发冲突的PHP代码”编码一遍,这里就会用到php://filter。

php://filter是PHP语言中特有的协议流,作用是作为一个“中间流”来处理其他流。比如,我们可以用如下一行代码将POST内容转换成base64编码并输出:

readfile("php://filter/read=convert.base64-encode/resource=php://input");

如下:

浅谈php://filter的妙用

所以,在XXE中,我们也可以将PHP等容易引发冲突的文件流用php://filter协议流处理一遍,这样就能有效规避特殊字符造成混乱。

如下,我们使用的是php://filter/read=convert.base64-encode/resource=./xxe.php

浅谈php://filter的妙用

巧用编码与解码

使用编码不光可以帮助我们获取文件,也可以帮我们去除一些“不必要的麻烦”。

记得前段时间三个白帽有个比赛,其中有一部分代码大概类似于以下:

<?php
$content = '<?php exit; ?>';
$content .= $_POST['txt'];
file_put_contents($_POST['filename'], $content);

 $content在开头增加了exit过程,导致即使我们成功写入一句话,也执行不了(这个过程在实战中十分常见,通常出现在缓存、配置文件等等地方,不允许用户直接访问的文件,都会被加上if(!defined(xxx))exit;之类的限制)。那么这种情况下,如何绕过这个“死亡exit”?

幸运的是,这里的$_POST['filename']是可以控制协议的,我们即可使用 php://filter协议来施展魔法:使用php://filter流的base64-decode方法,将$content解码,利用php base64_decode函数特性去除“死亡exit”。

众所周知,base64编码中只包含64个可打印字符,而PHP在解码base64时,遇到不在其中的字符时,将会跳过这些字符,仅将合法字符组成一个新的字符串进行解码。

所以,一个正常的base64_decode实际上可以理解为如下两个步骤:

<?php
$_GET['txt'] = preg_replace('|[^a-z0-9A-Z+/]|s', '', $_GET['txt']);
base64_decode($_GET['txt']);

所以,当$content被加上了<?php exit; ?>以后,我们可以使用 php://filter/write=convert.base64-decode 来首先对其解码。在解码的过程中,字符<、?、;、>、空格等一共有7个字符不符合base64编码的字符范围将被忽略,所以最终被解码的字符仅有“phpexit”和我们传入的其他字符。

“phpexit”一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,"phpexita"被正常解码,而后面我们传入的webshell的base64内容也被正常解码。结果就是<?php exit; ?>没有了。

最后效果是 :

浅谈php://filter的妙用

利用字符串操作方法

有的同学说,base64的算法我不懂,上面的方法太复杂了。

其实,除了使用base64特性的方法外,我们还可以利用php://filter字符串处理方法来去除“死亡exit”。我们观察一下,这个<?php exit; ?>实际上是什么?

实际上是一个XML标签,既然是XML标签,我们就可以利用strip_tags函数去除它,而php://filter刚好是支持这个方法的。

编写如下测试代码即可查看 php://filter/read=string.strip_tags/resource=php://input 的效果:

echo readfile('php://filter/read=string.strip_tags/resource=php://input');

浅谈php://filter的妙用

可见,<?php exit; ?>被去除了。但回到上面的题目,我们最终的目的是写入一个webshell,而写入的webshell也是php代码,如果使用strip_tags同样会被去除。

万幸的是,php://filter允许使用多个过滤器,我们可以先将webshell用base64编码。在调用完成strip_tags后再进行base64-decode。“死亡exit”在第一步被去除,而webshell在第二步被还原。

最终的数据包如下:

浅谈php://filter的妙用

除此之外,我们还可以利用rot13编码独立完成任务。原理和上面类似,核心是将“死亡exit”去除。<?php exit; ?>在经过rot13编码后会变成<?cuc rkvg; ?>,在PHP不开启short_open_tag时,php不认识这个字符串,当然也就不会执行了:

浅谈php://filter的妙用

当然,这个方法的条件就是不开启短标签。

以上就是关于php://filter的妙用的疑惑全部内容,感谢大家对三水点靠木的支持。

PHP 相关文章推荐
简体中文转换为繁体中文的PHP函数
Oct 09 PHP
php-accelerator网站加速PHP缓冲的方法
Jul 30 PHP
php session处理的定制
Mar 16 PHP
PHP Zip压缩 在线对文件进行压缩的函数
May 26 PHP
php urlencode()与urldecode()函数字符编码原理详解
Dec 06 PHP
PHP模板引擎Smarty的缓存使用总结
Apr 24 PHP
php实现mysql备份恢复分卷处理的方法
Dec 26 PHP
Codeigniter校验ip地址的方法
Mar 21 PHP
php简单实现快速排序的方法
Apr 04 PHP
thinkPHP显示不出验证码的原因与解决方法分析
May 20 PHP
YII框架http缓存操作示例
Apr 29 PHP
PHP经典设计模式之依赖注入定义与用法详解
May 21 PHP
PHP实现微信小程序用户授权的工具类示例
Mar 05 #PHP
统计PHP目录中的文件数方法
Mar 05 #PHP
PHP常见字符串操作函数与用法总结
Mar 04 #PHP
php+Ajax处理xml与json格式数据的方法示例
Mar 04 #PHP
php+Ajax无刷新验证用户名操作实例详解
Mar 04 #PHP
实例介绍PHP删除数组中的重复元素
Mar 03 #PHP
PHP+Ajax简单get验证操作示例
Mar 02 #PHP
You might like
使用PHP静态变量当缓存的方法
2013/11/13 PHP
PHP连接和操作MySQL数据库基础教程
2014/09/29 PHP
PHP实用函数分享之去除多余的0
2015/02/06 PHP
PHP中数据类型转换的三种方式
2015/04/02 PHP
JS模拟多线程
2007/02/07 Javascript
在javascript将NodeList作为Array数组处理的方法
2010/07/09 Javascript
原生javascript获取元素样式属性值的方法
2010/12/25 Javascript
用最通俗易懂的代码帮助新手理解javascript闭包 推荐
2012/03/01 Javascript
JQuery拖拽元素改变大小尺寸实现代码
2012/12/10 Javascript
JavaScript 和 Java 的区别浅析
2013/07/31 Javascript
Javascript中各种trim的实现详细解析
2013/12/10 Javascript
SinaEditor使用方法详解
2013/12/28 Javascript
jquery操作angularjs对象
2015/06/26 Javascript
node.js require() 源码解读
2015/12/13 Javascript
JavaScript实现垂直向上无缝滚动特效代码
2016/11/23 Javascript
js自定义QQ菜单效果
2017/01/10 Javascript
jQuery、zepto、js常用小技巧
2017/02/12 Javascript
jQuery实现三级联动效果
2017/03/02 Javascript
react项目实践之webpack-dev-serve
2018/09/14 Javascript
Koa 使用小技巧(小结)
2018/10/22 Javascript
nodejs中实现用户注册路由功能
2019/05/20 NodeJs
使用python在校内发人人网状态(人人网看状态)
2014/02/19 Python
Python实现自动发送邮件功能
2021/03/02 Python
python遍历小写英文字母的方法
2019/01/02 Python
Python解压 rar、zip、tar文件的方法
2019/11/19 Python
python 统计文件中的字符串数目示例
2019/12/24 Python
使用Django搭建网站实现商品分页功能
2020/05/22 Python
戴森台湾线上商城:Dyson Taiwan
2018/05/21 全球购物
C/C++ 笔试、面试题目大汇总
2015/11/21 面试题
客户经理竞聘演讲稿
2014/05/15 职场文书
党的群众路线对照检查材料
2014/08/27 职场文书
公司员工离职证明书
2014/10/04 职场文书
见习报告的格式
2014/11/04 职场文书
2014年班干部工作总结
2014/11/25 职场文书
2015年生活老师工作总结
2015/05/27 职场文书
高中家长意见怎么写
2015/06/03 职场文书