PHP伪协议深度攻防从文件包含到压缩包渗透的艺术当安全工程师面对一个看似无害的文件上传功能时往往能通过PHP伪协议这座桥梁发现意想不到的攻击面。2022年NISACTF赛事中的bingdundun题目正是利用了phar协议的特性但这仅仅是冰山一角。PHP内置的12种伪协议构成了一个复杂的武器库每种协议都像瑞士军刀的不同部件在特定场景下能发挥独特作用。1. PHP伪协议家族全景解析PHP伪协议远不止于常见的phar和zip它们像一套精心设计的钥匙能打开服务器文件系统的各种锁。理解这些协议的工作原理是攻防双方都必须掌握的基本功。1.1 主流伪协议特性对比协议类型支持版本典型用途特殊限制绕过潜力phar://≥5.3.0读取压缩包内文件需有效stub头★★★★☆zip://≥5.2.0访问ZIP压缩文件需绝对路径#号分隔★★★☆☆data://≥5.2.0直接执行内联代码需allow_url_include开启★★★★★expect://需扩展执行系统命令需安装expect扩展★★☆☆☆glob://≥5.3.0文件模式匹配仅查找功能★☆☆☆☆注意实际利用时需结合allow_url_fopen和allow_url_include配置状态选择协议phar://的独特之处在于它能解析被重命名的压缩包。我曾在一个实战项目中遇到仅允许上传.jpg文件的系统通过以下步骤成功利用创建包含恶意代码的phar文件重命名为profile.jpg上传通过include(phar://./uploads/profile.jpg/internal.php)触发执行1.2 非常规协议的特殊价值compress.zlib://和compress.bzip2://这类协议常被忽视但它们能绕过某些特殊过滤// 传统zip协议利用 include(zip:///var/www/uploads/attack.zip%23payload.php); // 使用zlib的替代方案 file_get_contents(compress.zlib:///tmp/malicious.gz);在Windows系统上ogg://协议有时能替代被过滤的协议这种冷门特性在CTF比赛中尤其有用。2. 绕过上传限制的六种高阶技巧当系统采用黑名单过滤伪协议时攻击者需要更精巧的绕过方式。以下是经过实战验证的有效方法2.1 协议嵌套与编码技巧双重编码绕过include(phar://./uploads/attack.jpg/); // 被过滤时 include(p%68ar://./uploads/attack.jpg/); // URL解码后生效协议链组合file_get_contents(compress.zlib://phar:///tmp/fake.png/internal.php);2.2 文件魔术字节操控制作能同时被识别为图片和phar的文件# 生成混合文件示例 with open(evil.phar, rb) as f: phar f.read() with open(fake.jpg, wb) as f: f.write(b\xFF\xD8\xFF\xE0 phar) # 添加JPEG文件头这种文件在上传时通过图片检测被包含时又作为有效phar执行。3. 防御体系的构建策略对抗伪协议攻击需要纵深防御我在企业安全评估中推荐采用以下组合方案3.1 输入验证的黄金法则扩展名白名单配合内容检测$finfo new finfo(FILEINFO_MIME_TYPE); if (!in_array($finfo-file($_FILES[file][tmp_name]), [image/jpeg, image/png])) { die(Invalid file type); }禁用危险函数; php.ini配置 disable_functions highlight_file,include,include_once,fopen3.2 服务器配置加固安全措施推荐配置防护效果open_basedir限制为web目录防止目录穿越allow_url_includeOff阻断远程文件包含session.upload_progressclean_enabledOn防止上传进度攻击user_ini.disabledOn阻止.user.ini文件篡改4. 实战案例分析从理论到突破回顾NISACTF 2022的bingdundun题目其核心考点是通过phar协议绕过上传限制。但在真实环境中攻击者往往会尝试更多可能性4.1 多协议组合攻击链上传伪装成PNG的ZIP压缩包利用zip://协议定位内部文件通过filter/convert.base64-encode/resource读取源码找到反序列化入口点触发phar反序列化// 典型攻击代码示例 $file zip:///var/www/uploads/fake.png%23payload.php; include($file);4.2 新型防御绕过技术最近出现的php://temp协议滥用案例表明攻击者开始利用临时文件流file_put_contents(php://temp/evil, ?php system($_GET[cmd]);?); include(php://temp/evil);这种技术完全绕过物理文件上传对防御体系提出新挑战。在一次红队评估中我们发现即使最严格的上传限制也无法阻止这种内存级攻击。
PHP文件包含漏洞新姿势:除了zip://和phar://,你还能用哪些伪协议绕过上传限制?
发布时间:2026/5/31 4:41:02
PHP伪协议深度攻防从文件包含到压缩包渗透的艺术当安全工程师面对一个看似无害的文件上传功能时往往能通过PHP伪协议这座桥梁发现意想不到的攻击面。2022年NISACTF赛事中的bingdundun题目正是利用了phar协议的特性但这仅仅是冰山一角。PHP内置的12种伪协议构成了一个复杂的武器库每种协议都像瑞士军刀的不同部件在特定场景下能发挥独特作用。1. PHP伪协议家族全景解析PHP伪协议远不止于常见的phar和zip它们像一套精心设计的钥匙能打开服务器文件系统的各种锁。理解这些协议的工作原理是攻防双方都必须掌握的基本功。1.1 主流伪协议特性对比协议类型支持版本典型用途特殊限制绕过潜力phar://≥5.3.0读取压缩包内文件需有效stub头★★★★☆zip://≥5.2.0访问ZIP压缩文件需绝对路径#号分隔★★★☆☆data://≥5.2.0直接执行内联代码需allow_url_include开启★★★★★expect://需扩展执行系统命令需安装expect扩展★★☆☆☆glob://≥5.3.0文件模式匹配仅查找功能★☆☆☆☆注意实际利用时需结合allow_url_fopen和allow_url_include配置状态选择协议phar://的独特之处在于它能解析被重命名的压缩包。我曾在一个实战项目中遇到仅允许上传.jpg文件的系统通过以下步骤成功利用创建包含恶意代码的phar文件重命名为profile.jpg上传通过include(phar://./uploads/profile.jpg/internal.php)触发执行1.2 非常规协议的特殊价值compress.zlib://和compress.bzip2://这类协议常被忽视但它们能绕过某些特殊过滤// 传统zip协议利用 include(zip:///var/www/uploads/attack.zip%23payload.php); // 使用zlib的替代方案 file_get_contents(compress.zlib:///tmp/malicious.gz);在Windows系统上ogg://协议有时能替代被过滤的协议这种冷门特性在CTF比赛中尤其有用。2. 绕过上传限制的六种高阶技巧当系统采用黑名单过滤伪协议时攻击者需要更精巧的绕过方式。以下是经过实战验证的有效方法2.1 协议嵌套与编码技巧双重编码绕过include(phar://./uploads/attack.jpg/); // 被过滤时 include(p%68ar://./uploads/attack.jpg/); // URL解码后生效协议链组合file_get_contents(compress.zlib://phar:///tmp/fake.png/internal.php);2.2 文件魔术字节操控制作能同时被识别为图片和phar的文件# 生成混合文件示例 with open(evil.phar, rb) as f: phar f.read() with open(fake.jpg, wb) as f: f.write(b\xFF\xD8\xFF\xE0 phar) # 添加JPEG文件头这种文件在上传时通过图片检测被包含时又作为有效phar执行。3. 防御体系的构建策略对抗伪协议攻击需要纵深防御我在企业安全评估中推荐采用以下组合方案3.1 输入验证的黄金法则扩展名白名单配合内容检测$finfo new finfo(FILEINFO_MIME_TYPE); if (!in_array($finfo-file($_FILES[file][tmp_name]), [image/jpeg, image/png])) { die(Invalid file type); }禁用危险函数; php.ini配置 disable_functions highlight_file,include,include_once,fopen3.2 服务器配置加固安全措施推荐配置防护效果open_basedir限制为web目录防止目录穿越allow_url_includeOff阻断远程文件包含session.upload_progressclean_enabledOn防止上传进度攻击user_ini.disabledOn阻止.user.ini文件篡改4. 实战案例分析从理论到突破回顾NISACTF 2022的bingdundun题目其核心考点是通过phar协议绕过上传限制。但在真实环境中攻击者往往会尝试更多可能性4.1 多协议组合攻击链上传伪装成PNG的ZIP压缩包利用zip://协议定位内部文件通过filter/convert.base64-encode/resource读取源码找到反序列化入口点触发phar反序列化// 典型攻击代码示例 $file zip:///var/www/uploads/fake.png%23payload.php; include($file);4.2 新型防御绕过技术最近出现的php://temp协议滥用案例表明攻击者开始利用临时文件流file_put_contents(php://temp/evil, ?php system($_GET[cmd]);?); include(php://temp/evil);这种技术完全绕过物理文件上传对防御体系提出新挑战。在一次红队评估中我们发现即使最严格的上传限制也无法阻止这种内存级攻击。
相关文章
免费音乐解锁终极指南:3步打破平台加密限制
免费音乐解锁终极指南:3步打破平台加密限制 【免费下载链接】unlock-music 在浏览器中解锁加密的音乐文件。原仓库: 1. https://github.com/unlock-music/unlock-music ;2. https://git.unlock-music.dev/um/web 项目地址: https://gitcode…
Lindy代码生成自动化白皮书(2024权威版):基于17个超10万行代码项目的衰减率建模与稳定性阈值定义
更多请点击: https://intelliparadigm.com 第一章:Lindy代码生成自动化的概念起源与范式演进 Lindy效应最初由Nassim Taleb在《黑天鹅》中提出,指出“对于会自然消亡的事物,其未来预期寿命与当前年龄成正比”。在软件工程领域&am…
用libGDX和Java 11,从零到一做个接水小游戏(附完整源码和避坑指南)
用libGDX和Java 11构建接水小游戏的实战指南 第一次接触游戏开发时,我盯着屏幕上那个简陋的矩形块移动了整整三小时——那种纯粹的快乐至今难忘。libGDX给了Java开发者一个绝佳的入口,让我们能用熟悉的语言快速构建跨平台游戏。今天,我们就用…
Windows Defender完全移除终极指南:免费工具实现彻底禁用
Windows Defender完全移除终极指南:免费工具实现彻底禁用 【免费下载链接】windows-defender-remover A tool which is uses to remove Windows Defender in Windows 8.x, Windows 10 (every version) and Windows 11. 项目地址: https://gitcode.com/gh_mirrors/…
Kafka 高吞吐消息链路常见面试问题及详细解答
1. Kafka 为什么适合海量数据入口? Kafka 适合海量数据入口,是因为它把数据写入和数据处理解耦了。 它通过分区实现并行,通过顺序追加日志提升写入吞吐,通过副本提高可靠性,通过 offset 支持回放和恢复,通过…
边缘计算架构在新闻分发中的实践:从CDN到智能边缘的演进
1. 项目概述:边缘计算与新闻分发的融合最近在做一个挺有意思的尝试,把新闻内容分发和边缘计算这两个看似不搭界的东西揉在了一起,项目代号就叫“News — At The Edge”。这名字听起来有点玄乎,说白了,就是想解决一个老…
边缘计算在新闻聚合中的应用:构建隐私优先的本地化信息流
1. 项目概述:边缘新闻聚合的兴起与挑战 最近在折腾一个挺有意思的项目,我把它叫做“News — At The Edge”。这个名字听起来有点抽象,但核心想法其实很直接:我们能不能把新闻内容的获取、处理和分发,从传统的中心化服务…
保姆级教程:在ROS Melodic/Noetic下,用Gazebo和RVIZ搭建3台Turtlebot3 Burger的仿真环境(避坑指南)
保姆级教程:ROS Melodic/Noetic下三台Turtlebot3 Burger的Gazebo与RVIZ仿真环境搭建全攻略第一次在ROS环境下配置多机器人仿真时,我被各种命名空间冲突和TF树错乱问题折磨得焦头烂额。三台Turtlebot3在Gazebo中要么重叠在一起,要么在RVIZ里显…
ncmdump:解锁网易云音乐加密文件的终极指南
ncmdump:解锁网易云音乐加密文件的终极指南 【免费下载链接】ncmdump 项目地址: https://gitcode.com/gh_mirrors/ncmd/ncmdump 你是否曾经遇到过这样的情况?在网易云音乐下载了心爱的歌曲,想要在车上播放,却发现文件格式…
Win10/Win11下Realtek 8188GU网卡驱动感叹号?别急着扔,试试这个手动安装的野路子
Realtek 8188GU网卡驱动故障深度修复指南:从原理到实战当设备管理器里那个顽固的黄色感叹号挥之不去,而你已经尝试了所有"标准操作"——Windows自动更新、第三方驱动工具、甚至重启大法——却依然无济于事时,是时候换个思路了。这篇…
AnolisOS 8.8安装源配置踩坑实录:从‘设置基础软件仓库时出错’到成功联网的保姆级指南
AnolisOS 8.8安装源配置实战指南:从诊断到解决方案的全流程解析当你在安装AnolisOS 8.8时遇到"设置基础软件仓库时出错"的提示,这通常意味着系统无法访问或识别安装源。这个问题看似简单,但背后可能涉及网络配置、镜像选择、启动参…
基于树莓派Pico的反应速度测试游戏:从GPIO编程到状态机实战
1. 项目概述与核心思路最近在整理工作室的电子元件,翻出来几个闲置的街机按钮和一块树莓派Pico,灵机一动,决定做个简单又有趣的反应速度测试游戏。这个项目非常适合想入门嵌入式开发的朋友,它不涉及复杂的传感器和通信协议&#x…
Win10/Win11下Realtek 8188GU网卡驱动感叹号?别急着扔,试试这个手动安装的野路子
Realtek 8188GU网卡驱动故障深度修复指南:从原理到实战当设备管理器里那个顽固的黄色感叹号挥之不去,而你已经尝试了所有"标准操作"——Windows自动更新、第三方驱动工具、甚至重启大法——却依然无济于事时,是时候换个思路了。这篇…
AnolisOS 8.8安装源配置踩坑实录:从‘设置基础软件仓库时出错’到成功联网的保姆级指南
AnolisOS 8.8安装源配置实战指南:从诊断到解决方案的全流程解析当你在安装AnolisOS 8.8时遇到"设置基础软件仓库时出错"的提示,这通常意味着系统无法访问或识别安装源。这个问题看似简单,但背后可能涉及网络配置、镜像选择、启动参…
基于树莓派Pico的反应速度测试游戏:从GPIO编程到状态机实战
1. 项目概述与核心思路最近在整理工作室的电子元件,翻出来几个闲置的街机按钮和一块树莓派Pico,灵机一动,决定做个简单又有趣的反应速度测试游戏。这个项目非常适合想入门嵌入式开发的朋友,它不涉及复杂的传感器和通信协议&#x…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…