目录

PHP伪协议

php://input

Example 1： 造成任意代码执行

Example 2： 文件内容绕过

php://filer

zip://

---

PHP伪协议

php://input

Example 1： 造成任意代码执行

搭建环境

<meta charset="utf8">
<?php
error_reporting(0);
$file = $_GET["file"];
if(stristr($file,"php://filter") || stristr($file,"zip://") || stristr($file,"phar://") || stristr($file,"data:")){
    exit('hacker!');
}
if($file){
    if ($file!="http://www.baidu.com") echo "tips：flag在当前目录的某个文件中";
    include($file);
}else{
    echo '<a href="?file=http://www.baidu.com">click go baidu</a>';
}
?>

直接点开看看

发现有file，我们的第一想法就是文件包含或者ssrf，由于这里的专题是文件包含，那显然就是文件包含了，接下来分析代码，发现file接受参数，但是过滤了一下伪协议，

但是我们发现并没有过滤php://input,那我们开始拿flag

在这个页面使用bp进行抓包

这样成功拿下flag

Example 2： 文件内容绕过

搭建环境

<?php
show_source(__FILE__);
include('flag.php');
$a= $_GET["a"];
if(isset($a)&&(file_get_contents($a,'r')) === 'I want flag'){
    echo "success\n";
    echo $flag;
}

分析代码，

当参数$a不为空，且读取的文件中包含’I want flag’时，即可显示$flag。所以可以使用php://input

开始拿flag

依然是使用bp进行抓包

成功拿下flag，其实这种直接显示源码的，我们只需要把源码分析清楚，就差不多思路就清晰了，可以快速地拿下flag。

php://filer

搭建环境

<meta charset="utf8">
<?php
error_reporting(0);
$file = $_GET["file"];
if(stristr($file,"php://input") || stristr($file,"zip://") || stristr($file,"phar://") || stristr($file,"data:")){
    exit('hacker!');
}
if($file){
    include($file);
}else{
    echo '<a href="?file=flag.php">tips</a>';
}
?>

分析代码，发现没有过滤php://filer,使用file进行传参，我们直接拿flag

?file=php://filter/read=convert.base64-encode/resource=flag.php

这是进行base64编码后的flag，我们只需要对其进行解码即可拿到flag

拿下flag

zip://

搭建环境

<?php
error_reporting(0);
$file = $_GET["file"];
if (!$file) echo '<a href="?file=upload">upload?</a>';
if(stristr($file,"input")||stristr($file, "filter")||stristr($file,"data")/*||stristr($file,"phar")*/){
    echo "hick?";
    exit();
}else{
    include($file.".php");
}
?>
<!-- flag在当前目录的某个文件中 -->

//upload.php
<meta charset="utf-8">
<form action="upload.php" method="post" enctype="multipart/form-data" >
     <input type="file" name="fupload" />
     <input type="submit" value="upload!" />
</form>
you can upload jpg,png,zip....<br />
<?php
if( isset( $_FILES['fupload'] ) ) {
    $uploaded_name = $_FILES[ 'fupload' ][ 'name' ];         //文件名
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);   //文件后缀
    $uploaded_size = $_FILES[ 'fupload' ][ 'size' ];         //文件大小
    $uploaded_tmp  = $_FILES[ 'fupload' ][ 'tmp_name' ];     // 存储在服务器的文件的临时副本的名称
    $target_path = "uploads/".md5(uniqid(rand())).".".$uploaded_ext;
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" || strtolower( $uploaded_ext ) == "zip" ) &&
        ( $uploaded_size < 100000 ) ) {
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {// No
            echo '<pre>upload error</pre>';
        }
        else {// Yes!
            echo "<pre>".dirname(__FILE__)."\\{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        echo '<pre>you can upload jpg,png,zip....</pre>';
    }
}
 ?>

分析代码，file进行接收传参，同时过滤了这些伪协议

下面这段代码是上传upload的form表单

下面这段这段代码是接收upload的功能

开始拿flag，这一题很明显，没有过滤zip://伪协议，同时它还可以上传文件，拿我们首先创建一个php文件并且对其进行压缩

进行文件上传

文件上传路径中需要把/修改为\，（每个人的路径都不一样，注意用自己的路径）

?file=zip:///home/centos/nginx/html/include/uploads/665908a9ab398f33baa832e6c99d5d24.zip%23web&abc=cat%20flag.php

拿下flag

今天就到这里了。