浅谈php://filter的妙用


Posted in PHP onMarch 05, 2019

php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也就只好提前分享一下。

XXE中的使用

php://filter之前最常出镜的地方是XXE。由于XXE漏洞的特殊性,我们在读取HTML、PHP等文件时可能会抛出此类错误parser error : StartTag: invalid element name 。其原因是,PHP是基于标签的脚本语言,<?php ... ?>这个语法也与XML相符合,所以在解析XML的时候会被误认为是XML,而其中内容(比如特殊字符)又有可能和标准XML冲突,所以导致了出错。

那么,为了读取包含有敏感信息的PHP等源文件,我们就要先将“可能引发冲突的PHP代码”编码一遍,这里就会用到php://filter。

php://filter是PHP语言中特有的协议流,作用是作为一个“中间流”来处理其他流。比如,我们可以用如下一行代码将POST内容转换成base64编码并输出:

readfile("php://filter/read=convert.base64-encode/resource=php://input");

如下:

浅谈php://filter的妙用

所以,在XXE中,我们也可以将PHP等容易引发冲突的文件流用php://filter协议流处理一遍,这样就能有效规避特殊字符造成混乱。

如下,我们使用的是php://filter/read=convert.base64-encode/resource=./xxe.php

浅谈php://filter的妙用

巧用编码与解码

使用编码不光可以帮助我们获取文件,也可以帮我们去除一些“不必要的麻烦”。

记得前段时间三个白帽有个比赛,其中有一部分代码大概类似于以下:

<?php
$content = '<?php exit; ?>';
$content .= $_POST['txt'];
file_put_contents($_POST['filename'], $content);

 $content在开头增加了exit过程,导致即使我们成功写入一句话,也执行不了(这个过程在实战中十分常见,通常出现在缓存、配置文件等等地方,不允许用户直接访问的文件,都会被加上if(!defined(xxx))exit;之类的限制)。那么这种情况下,如何绕过这个“死亡exit”?

幸运的是,这里的$_POST['filename']是可以控制协议的,我们即可使用 php://filter协议来施展魔法:使用php://filter流的base64-decode方法,将$content解码,利用php base64_decode函数特性去除“死亡exit”。

众所周知,base64编码中只包含64个可打印字符,而PHP在解码base64时,遇到不在其中的字符时,将会跳过这些字符,仅将合法字符组成一个新的字符串进行解码。

所以,一个正常的base64_decode实际上可以理解为如下两个步骤:

<?php
$_GET['txt'] = preg_replace('|[^a-z0-9A-Z+/]|s', '', $_GET['txt']);
base64_decode($_GET['txt']);

所以,当$content被加上了<?php exit; ?>以后,我们可以使用 php://filter/write=convert.base64-decode 来首先对其解码。在解码的过程中,字符<、?、;、>、空格等一共有7个字符不符合base64编码的字符范围将被忽略,所以最终被解码的字符仅有“phpexit”和我们传入的其他字符。

“phpexit”一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,"phpexita"被正常解码,而后面我们传入的webshell的base64内容也被正常解码。结果就是<?php exit; ?>没有了。

最后效果是 :

浅谈php://filter的妙用

利用字符串操作方法

有的同学说,base64的算法我不懂,上面的方法太复杂了。

其实,除了使用base64特性的方法外,我们还可以利用php://filter字符串处理方法来去除“死亡exit”。我们观察一下,这个<?php exit; ?>实际上是什么?

实际上是一个XML标签,既然是XML标签,我们就可以利用strip_tags函数去除它,而php://filter刚好是支持这个方法的。

编写如下测试代码即可查看 php://filter/read=string.strip_tags/resource=php://input 的效果:

echo readfile('php://filter/read=string.strip_tags/resource=php://input');

浅谈php://filter的妙用

可见,<?php exit; ?>被去除了。但回到上面的题目,我们最终的目的是写入一个webshell,而写入的webshell也是php代码,如果使用strip_tags同样会被去除。

万幸的是,php://filter允许使用多个过滤器,我们可以先将webshell用base64编码。在调用完成strip_tags后再进行base64-decode。“死亡exit”在第一步被去除,而webshell在第二步被还原。

最终的数据包如下:

浅谈php://filter的妙用

除此之外,我们还可以利用rot13编码独立完成任务。原理和上面类似,核心是将“死亡exit”去除。<?php exit; ?>在经过rot13编码后会变成<?cuc rkvg; ?>,在PHP不开启short_open_tag时,php不认识这个字符串,当然也就不会执行了:

浅谈php://filter的妙用

当然,这个方法的条件就是不开启短标签。

以上就是关于php://filter的妙用的疑惑全部内容,感谢大家对三水点靠木的支持。

PHP 相关文章推荐
综合图片计数器
Oct 09 PHP
php文件服务实现虚拟挂载其他目录示例
Apr 17 PHP
PHP三元运算的2种写法代码实例
May 12 PHP
兼容PHP和Java的des加密解密代码分享
Jun 26 PHP
php中mkdir函数用法实例分析
Nov 15 PHP
php递归遍历删除文件的方法
Apr 17 PHP
关于php中一些字符串总结
May 05 PHP
PHP载入图像imagecreatefrom_gif_jpeg_png系列函数用法分析
Nov 14 PHP
PHP 文件上传后端处理实用技巧方法
Jan 06 PHP
thinkphp5.1 文件引入路径问题及注意事项
Jun 13 PHP
php微信公众号开发之快递查询
Oct 20 PHP
PDO::prepare讲解
Jan 29 PHP
PHP实现微信小程序用户授权的工具类示例
Mar 05 #PHP
统计PHP目录中的文件数方法
Mar 05 #PHP
PHP常见字符串操作函数与用法总结
Mar 04 #PHP
php+Ajax处理xml与json格式数据的方法示例
Mar 04 #PHP
php+Ajax无刷新验证用户名操作实例详解
Mar 04 #PHP
实例介绍PHP删除数组中的重复元素
Mar 03 #PHP
PHP+Ajax简单get验证操作示例
Mar 02 #PHP
You might like
php+dbfile开发小型留言本
2006/10/09 PHP
解决Codeigniter不能上传rar和zip压缩包问题
2014/03/07 PHP
PHP实现图片的等比缩放和Logo水印功能示例
2017/05/04 PHP
php和redis实现秒杀活动的流程
2019/07/17 PHP
Laravel ORM 数据model操作教程
2019/10/21 PHP
JavaScript学习笔记之JS事件对象
2015/01/22 Javascript
jQuery使用CSS()方法给指定元素同时设置多个样式
2015/03/26 Javascript
AngularJS入门教程之链接与图片模板详解
2016/08/19 Javascript
AngularJS 指令的交互详解及实例代码
2016/09/14 Javascript
jQuery使用animate实现ul列表项相互飘动效果示例
2016/09/16 Javascript
微信小程序 devtool隐藏的秘密
2017/01/21 Javascript
javascript 通过键名获取键盘的keyCode方法
2017/12/31 Javascript
vue-cli 默认路由再子路由选中下的选中状态问题及解决代码
2018/09/06 Javascript
DatePickerDialog 自定义样式及使用全解
2019/07/09 Javascript
[51:44]2018DOTA2亚洲邀请赛 4.3 突围赛 Optic vs iG 第二场
2018/04/04 DOTA
Python中实例化class的执行顺序示例详解
2018/10/14 Python
python requests 库请求带有文件参数的接口实例
2019/01/03 Python
pyqt5 使用label控件实时显示时间的实例
2019/06/14 Python
tensorflow 报错unitialized value的解决方法
2020/02/06 Python
容易被忽略的Python内置类型
2020/09/03 Python
世界上最大的各式箱包网络零售店:eBag
2016/07/21 全球购物
意大利婴儿产品网上商店:Mukako
2018/10/14 全球购物
SCDKey德国:全球领先的数字游戏市场
2019/04/09 全球购物
优秀医生事迹材料
2014/02/12 职场文书
幼儿园消防演练方案
2014/02/13 职场文书
《赶海》教学反思
2014/04/20 职场文书
学校就业推荐信范文
2014/05/19 职场文书
工程学毕业生自荐信
2014/06/14 职场文书
交警正风肃纪剖析材料
2014/10/29 职场文书
2015年村党支部工作总结
2015/04/30 职场文书
2015年学校心理健康教育工作总结
2015/05/11 职场文书
预备党员入党感言
2015/08/01 职场文书
2016年国庆节67周年活动总结
2016/04/01 职场文书
python3 hdf5文件 遍历代码
2021/05/19 Python
MySQL Router实现MySQL的读写分离的方法
2021/05/27 MySQL
Go遍历struct,map,slice的实现
2021/06/13 Golang