浅谈php://filter的妙用


Posted in PHP onMarch 05, 2019

php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也就只好提前分享一下。

XXE中的使用

php://filter之前最常出镜的地方是XXE。由于XXE漏洞的特殊性,我们在读取HTML、PHP等文件时可能会抛出此类错误parser error : StartTag: invalid element name 。其原因是,PHP是基于标签的脚本语言,<?php ... ?>这个语法也与XML相符合,所以在解析XML的时候会被误认为是XML,而其中内容(比如特殊字符)又有可能和标准XML冲突,所以导致了出错。

那么,为了读取包含有敏感信息的PHP等源文件,我们就要先将“可能引发冲突的PHP代码”编码一遍,这里就会用到php://filter。

php://filter是PHP语言中特有的协议流,作用是作为一个“中间流”来处理其他流。比如,我们可以用如下一行代码将POST内容转换成base64编码并输出:

readfile("php://filter/read=convert.base64-encode/resource=php://input");

如下:

浅谈php://filter的妙用

所以,在XXE中,我们也可以将PHP等容易引发冲突的文件流用php://filter协议流处理一遍,这样就能有效规避特殊字符造成混乱。

如下,我们使用的是php://filter/read=convert.base64-encode/resource=./xxe.php

浅谈php://filter的妙用

巧用编码与解码

使用编码不光可以帮助我们获取文件,也可以帮我们去除一些“不必要的麻烦”。

记得前段时间三个白帽有个比赛,其中有一部分代码大概类似于以下:

<?php
$content = '<?php exit; ?>';
$content .= $_POST['txt'];
file_put_contents($_POST['filename'], $content);

 $content在开头增加了exit过程,导致即使我们成功写入一句话,也执行不了(这个过程在实战中十分常见,通常出现在缓存、配置文件等等地方,不允许用户直接访问的文件,都会被加上if(!defined(xxx))exit;之类的限制)。那么这种情况下,如何绕过这个“死亡exit”?

幸运的是,这里的$_POST['filename']是可以控制协议的,我们即可使用 php://filter协议来施展魔法:使用php://filter流的base64-decode方法,将$content解码,利用php base64_decode函数特性去除“死亡exit”。

众所周知,base64编码中只包含64个可打印字符,而PHP在解码base64时,遇到不在其中的字符时,将会跳过这些字符,仅将合法字符组成一个新的字符串进行解码。

所以,一个正常的base64_decode实际上可以理解为如下两个步骤:

<?php
$_GET['txt'] = preg_replace('|[^a-z0-9A-Z+/]|s', '', $_GET['txt']);
base64_decode($_GET['txt']);

所以,当$content被加上了<?php exit; ?>以后,我们可以使用 php://filter/write=convert.base64-decode 来首先对其解码。在解码的过程中,字符<、?、;、>、空格等一共有7个字符不符合base64编码的字符范围将被忽略,所以最终被解码的字符仅有“phpexit”和我们传入的其他字符。

“phpexit”一共7个字符,因为base64算法解码时是4个byte一组,所以给他增加1个“a”一共8个字符。这样,"phpexita"被正常解码,而后面我们传入的webshell的base64内容也被正常解码。结果就是<?php exit; ?>没有了。

最后效果是 :

浅谈php://filter的妙用

利用字符串操作方法

有的同学说,base64的算法我不懂,上面的方法太复杂了。

其实,除了使用base64特性的方法外,我们还可以利用php://filter字符串处理方法来去除“死亡exit”。我们观察一下,这个<?php exit; ?>实际上是什么?

实际上是一个XML标签,既然是XML标签,我们就可以利用strip_tags函数去除它,而php://filter刚好是支持这个方法的。

编写如下测试代码即可查看 php://filter/read=string.strip_tags/resource=php://input 的效果:

echo readfile('php://filter/read=string.strip_tags/resource=php://input');

浅谈php://filter的妙用

可见,<?php exit; ?>被去除了。但回到上面的题目,我们最终的目的是写入一个webshell,而写入的webshell也是php代码,如果使用strip_tags同样会被去除。

万幸的是,php://filter允许使用多个过滤器,我们可以先将webshell用base64编码。在调用完成strip_tags后再进行base64-decode。“死亡exit”在第一步被去除,而webshell在第二步被还原。

最终的数据包如下:

浅谈php://filter的妙用

除此之外,我们还可以利用rot13编码独立完成任务。原理和上面类似,核心是将“死亡exit”去除。<?php exit; ?>在经过rot13编码后会变成<?cuc rkvg; ?>,在PHP不开启short_open_tag时,php不认识这个字符串,当然也就不会执行了:

浅谈php://filter的妙用

当然,这个方法的条件就是不开启短标签。

以上就是关于php://filter的妙用的疑惑全部内容,感谢大家对三水点靠木的支持。

PHP 相关文章推荐
第八节 访问方式 [8]
Oct 09 PHP
PHP 中执行系统外部命令
Oct 09 PHP
php实现单链表的实例代码
Mar 22 PHP
php中如何防止表单的重复提交
Aug 02 PHP
php数据访问之增删改查操作
May 09 PHP
PHP查询附近的人及其距离的实现方法
May 11 PHP
php 多文件上传的实现实例
Oct 23 PHP
PHP图片水印类的封装
Jul 06 PHP
ThinkPHP防止重复提交表单的方法实例分析
May 10 PHP
PHP封装的数据库模型Model类完整示例【基于PDO】
Mar 14 PHP
PHP读取Excel内的图片(phpspreadsheet和PHPExcel扩展库)
Nov 19 PHP
php设计模式之模板模式实例分析【星际争霸游戏案例】
Mar 24 PHP
PHP实现微信小程序用户授权的工具类示例
Mar 05 #PHP
统计PHP目录中的文件数方法
Mar 05 #PHP
PHP常见字符串操作函数与用法总结
Mar 04 #PHP
php+Ajax处理xml与json格式数据的方法示例
Mar 04 #PHP
php+Ajax无刷新验证用户名操作实例详解
Mar 04 #PHP
实例介绍PHP删除数组中的重复元素
Mar 03 #PHP
PHP+Ajax简单get验证操作示例
Mar 02 #PHP
You might like
Laravel6.0.4中将添加计划任务事件的方法步骤
2019/10/15 PHP
php7 错误处理机制修改实例分析
2020/05/25 PHP
javascript 计算两个整数的百分比值
2009/12/26 Javascript
基于MooTools的很有创意的滚动条时钟动画
2010/11/14 Javascript
jQuery 菜单随滚条改为以定位方式(固定要浏览器顶部)
2012/05/24 Javascript
jquery二级导航内容均分的原理及实现
2013/08/13 Javascript
JavaScript var声明变量背后的原理示例解析
2013/10/12 Javascript
javascript分页代码实例分享(js分页)
2013/12/13 Javascript
页面装载js及性能分析方法介绍
2014/03/21 Javascript
深入理解JavaScript函数参数(推荐)
2016/07/26 Javascript
bootstrap与Jquery UI 按钮样式冲突的解决办法
2016/09/23 Javascript
详解JavaScript中的属性和特性
2016/12/08 Javascript
jQuery快速高效制作网页交互特效
2017/02/24 Javascript
jQuery滚动插件scrollable.js用法分析
2017/05/25 jQuery
浅谈angular2路由预加载策略
2017/10/04 Javascript
用vue封装插件并发布到npm的方法步骤
2017/10/18 Javascript
Vue组件开发之LeanCloud带图形校验码的短信发送功能
2017/11/07 Javascript
使用webpack打包koa2 框架app
2018/02/02 Javascript
微信小程序开发之路由切换页面重定向问题
2018/09/18 Javascript
关于微信小程序登录的那些事
2019/01/08 Javascript
使用Python下载Bing图片(代码)
2013/11/07 Python
pycharm 使用心得(九)解决No Python interpreter selected的问题
2014/06/06 Python
你所不知道的Python奇技淫巧13招【实用】
2016/12/14 Python
Python错误提示:[Errno 24] Too many open files的分析与解决
2017/02/16 Python
python检测IP地址变化并触发事件
2018/12/26 Python
Python+Pyqt实现简单GUI电子时钟
2021/02/22 Python
Python timer定时器两种常用方法解析
2020/01/20 Python
PyTorch安装与基本使用详解
2020/08/31 Python
浅析CSS3中鲜为人知的属性:-webkit-tap-highlight-color
2017/01/12 HTML / CSS
美国时装品牌:Nautica(诺帝卡)
2016/08/28 全球购物
eDreams巴西:廉价机票,酒店优惠和度假套餐
2017/04/14 全球购物
幼儿园教学随笔感言
2014/02/23 职场文书
承诺书范文
2014/06/03 职场文书
金融专业求职信
2014/08/05 职场文书
试用期员工工作自我评价
2014/09/10 职场文书
铁拳制作人赞《铁拳7》老头环Mod:制作精良 但别弄了
2022/04/03 其他游戏