浅谈php://filter的妙用


Posted in PHP onMarch 05, 2019

php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也就只好提前分享一下。

XXE中的使用

php://filter之前最常出镜的地方是XXE。由于XXE漏洞的特殊性,我们在读取HTML、PHP等文件时可能会抛出此类错误parser error : StartTag: invalid element name 。其原因是,PHP是基于标签的脚本语言,<?php ... ?>这个语法也与XML相符合,所以在解析XML的时候会被误认为是XML,而其中内容(比如特殊字符)又有可能和标准XML冲突,所以导致了出错。

那么,为了读取包含有敏感信息的PHP等源文件,我们就要先将“可能引发冲突的PHP代码”编码一遍,这里就会用到php://filter。

php://filter是PHP语言中特有的协议流,作用是作为一个“中间流”来处理其他流。比如,我们可以用如下一行代码将POST内容转换成base64编码并输出:

readfile("php://filter/read=convert.base64-encode/resource=php://input");

如下:

浅谈php://filter的妙用

所以,在XXE中,我们也可以将PHP等容易引发冲突的文件流用php://filter协议流处理一遍,这样就能有效规避特殊字符造成混乱。

如下,我们使用的是php://filter/read=convert.base64-encode/resource=./xxe.php

浅谈php://filter的妙用

巧用编码与解码

使用编码不光可以帮助我们获取文件,也可以帮我们去除一些“不必要的麻烦”。

记得前段时间三个白帽有个比赛,其中有一部分代码大概类似于以下:

<?php
$content = '<?php exit; ?>';
$content .= $_POST['txt'];
file_put_contents($_POST['filename'], $content);

 $content在开头增加了exit过程,导致即使我们成功写入一句话,也执行不了(这个过程在实战中十分常见,通常出现在缓存、配置文件等等地方,不允许用户直接访问的文件,都会被加上if(!defined(xxx))exit;之类的限制)。那么这种情况下,如何绕过这个“死亡exit”?

幸运的是,这里的$_POST['filename']是可以控制协议的,我们即可使用 php://filter协议来施展魔法:使用php://filter流的base64-decode方法,将$content解码,利用php base64_decode函数特性去除“死亡exit”。

众所周知,base64编码中只包含64个可打印字符,而PHP在解码base64时,遇到不在其中的字符时,将会跳过这些字符,仅将合法字符组成一个新的字符串进行解码。

所以,一个正常的base64_decode实际上可以理解为如下两个步骤:

<?php
$_GET['txt'] = preg_replace('|[^a-z0-9A-Z+/]|s', '', $_GET['txt']);
base64_decode($_GET['txt']);

所以,当$content被加上了<?php exit; ?>以后,我们可以使用 php://filter/write=convert.base64-decode 来首先对其解码。在解码的过程中,字符<、?、;、>、空格等一共有7个字符不符合base64编码的字符范围将被忽略,所以最终被解码的字符仅有“phpexit”和我们传入的其他字符。

“phpexit”一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,"phpexita"被正常解码,而后面我们传入的webshell的base64内容也被正常解码。结果就是<?php exit; ?>没有了。

最后效果是 :

浅谈php://filter的妙用

利用字符串操作方法

有的同学说,base64的算法我不懂,上面的方法太复杂了。

其实,除了使用base64特性的方法外,我们还可以利用php://filter字符串处理方法来去除“死亡exit”。我们观察一下,这个<?php exit; ?>实际上是什么?

实际上是一个XML标签,既然是XML标签,我们就可以利用strip_tags函数去除它,而php://filter刚好是支持这个方法的。

编写如下测试代码即可查看 php://filter/read=string.strip_tags/resource=php://input 的效果:

echo readfile('php://filter/read=string.strip_tags/resource=php://input');

浅谈php://filter的妙用

可见,<?php exit; ?>被去除了。但回到上面的题目,我们最终的目的是写入一个webshell,而写入的webshell也是php代码,如果使用strip_tags同样会被去除。

万幸的是,php://filter允许使用多个过滤器,我们可以先将webshell用base64编码。在调用完成strip_tags后再进行base64-decode。“死亡exit”在第一步被去除,而webshell在第二步被还原。

最终的数据包如下:

浅谈php://filter的妙用

除此之外,我们还可以利用rot13编码独立完成任务。原理和上面类似,核心是将“死亡exit”去除。<?php exit; ?>在经过rot13编码后会变成<?cuc rkvg; ?>,在PHP不开启short_open_tag时,php不认识这个字符串,当然也就不会执行了:

浅谈php://filter的妙用

当然,这个方法的条件就是不开启短标签。

以上就是关于php://filter的妙用的疑惑全部内容,感谢大家对三水点靠木的支持。

PHP 相关文章推荐
在WINDOWS中设置计划任务执行PHP文件的方法
Dec 19 PHP
PHP 第三节 变量介绍
Apr 28 PHP
PHP缓存技术的多种方法小结
Aug 14 PHP
php数组一对一替换实现代码
Aug 31 PHP
Zend Studio 实用快捷键一览表(精心整理)
Aug 10 PHP
php实现的返回数据格式化类实例
Sep 22 PHP
ThinkPHP中Session用法详解
Nov 29 PHP
php版微信公众平台回复中文出现乱码问题的解决方法
Sep 22 PHP
thinkPHP3.2.3结合Laypage实现的分页功能示例
May 28 PHP
解决php extension 加载顺序问题
Aug 16 PHP
gearman中任务的优先级和返回状态实例分析
Feb 27 PHP
Memcached介绍及php-memcache扩展安装
Apr 01 PHP
PHP实现微信小程序用户授权的工具类示例
Mar 05 #PHP
统计PHP目录中的文件数方法
Mar 05 #PHP
PHP常见字符串操作函数与用法总结
Mar 04 #PHP
php+Ajax处理xml与json格式数据的方法示例
Mar 04 #PHP
php+Ajax无刷新验证用户名操作实例详解
Mar 04 #PHP
实例介绍PHP删除数组中的重复元素
Mar 03 #PHP
PHP+Ajax简单get验证操作示例
Mar 02 #PHP
You might like
用PHP制作静态网站的模板框架(四)
2006/10/09 PHP
thinkPHP批量删除的实现方法分析
2016/11/09 PHP
Thinkphp开发--集成极光推送
2017/09/15 PHP
js实现兼容IE6与IE7的DIV高度
2010/05/13 Javascript
JavaScript内核之基本概念
2011/10/21 Javascript
JS小功能(onmouseover实现选择月份)实例代码
2013/11/28 Javascript
浅谈Javascript的静态属性和原型属性
2015/05/07 Javascript
JavaScript判断变量是否为数组的方法(Array)
2016/02/24 Javascript
JavaScript实现阿拉伯数字和中文数字互相转换
2016/06/12 Javascript
微信小程序开发(一) 微信登录流程详解
2017/01/11 Javascript
Vue.js:使用Vue-Router 2实现路由功能介绍
2017/02/22 Javascript
JavaScript中的工厂函数(推荐)
2017/03/08 Javascript
Vue cli+mui 区域滚动的实例代码
2018/01/25 Javascript
小程序:授权、登录、session_key、unionId的详解
2019/05/15 Javascript
详解Node.js异步处理的各种写法
2019/06/09 Javascript
Vue 一键清空表单的实现方法
2020/02/07 Javascript
ES6扩展运算符和rest运算符用法实例分析
2020/05/23 Javascript
[01:25]DOTA2超级联赛专访iG 将调整状态找回自己
2013/06/05 DOTA
python实现人人网登录示例分享
2014/01/19 Python
Python fileinput模块使用介绍
2014/11/30 Python
Python2中的raw_input() 与 input()
2015/06/12 Python
Python中的异常处理相关语句基础学习笔记
2016/07/11 Python
python操作小程序云数据库实现简单的增删改查功能
2019/06/06 Python
在PyCharm的 Terminal(终端)切换Python版本的方法
2019/08/02 Python
Python gevent协程切换实现详解
2020/09/14 Python
详解css3 mask遮罩实现一些特效
2018/10/24 HTML / CSS
使用CSS3 制作一个material-design 风格登录界面实例
2016/12/12 HTML / CSS
公职人员索取回扣检举信
2014/04/04 职场文书
文科毕业生自荐书范文
2014/04/17 职场文书
责任书范本
2014/08/25 职场文书
乡镇党的群众路线对照检查材料
2014/09/24 职场文书
2014年乡镇工作总结
2014/11/21 职场文书
退货证明模板
2015/06/23 职场文书
2016年优秀党员教师先进事迹材料
2016/02/29 职场文书
创业计划书之校园跑腿公司
2019/09/24 职场文书
MySQL控制流函数(-if ,elseif,else,case...when)
2022/07/07 MySQL