CTF比赛中关于PHP伪协议的使用。

[ACTF2020 新生赛] Include

打开靶机发现页面只有一个 tips 超链接:

打开超链接,发现页面并无特殊之处:

注意到url中出现 ?file=flag.php ,考虑是PHP伪协议漏洞,于是构造payload:

?file=php://filter/read=convert.base64-encode/resource=flag.php

使用burpsuite的repeater模块加载构造好的payload:

发现response中返回了一串字符串,经过base64解码,拿到flag:

补充知识:PHP伪协议

php://协议是php中独有的一个协议,可以作为一个中间流来处理其他流,进行任意文件的读取。

php://内包含若干协议:

协议 作用
php://input 可以访问请求的原始数据的只读流,在POST请求中访问POST的data部分,在enctype="multipart/form-data" 的时候php://input 是无效的。
php://output 只写的数据流,允许以 print 和 echo 一样的方式写入到输出缓冲区。
php://fd 允许直接访问指定的文件描述符。例如 php://fd/3 引用了文件描述符 3。
php://memory php://temp 一个类似文件包装器的数据流,允许读写临时数据。两者的唯一区别是 php://memory 总是把数据储存在内存中,而 php://temp 会在内存量达到预定义的限制后(默认是 2MB)存入临时文件中。临时文件位置的决定和 sys_get_temp_dir() 的方式一致。
php://filter 一种元封装器,设计用于数据流打开时的筛选过滤应用。对于一体式(all-in-one)的文件函数非常有用,类似 readfile()file()file_get_contents(),在数据流内容读取之前没有机会应用其他过滤器。

这里用到的 php://filter协议:

用于读取源代码并进行base64编码输出,参数说明如下:

resource=<要过滤的数据流> 这个参数是必须的。它指定了你要筛选过滤的数据流;

read=<读链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔;

write=<写链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。

?file=php://filter/read=convert.base64-encode/resource=

这种构造方式非常常见,用于获取文件源码。

文件包含漏洞

文件包含漏洞的产生原因是在通过 PHP 的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。