当前位置：首页 > article >正文

从一道CTF题深入理解PHP文件包含漏洞：绕过过滤与伪协议利用详解

article 2026/4/23 19:36:44

从一道CTF题深入理解PHP文件包含漏洞绕过过滤与伪协议利用详解当你面对一个看似简单的CTF题目时可能不会想到它背后隐藏着如此丰富的安全知识。今天我们要解构的这个案例正是PHP文件包含漏洞的经典教学范例。通过这道题我们不仅能学到解题技巧更能深入理解Web应用安全的核心原理。1. 漏洞环境与代码审计基础在开始分析之前让我们先明确文件包含漏洞的基本概念。文件包含漏洞通常发生在应用程序动态包含文件时未能对用户输入进行充分验证的情况下。PHP中常见的文件包含函数包括include、require、include_once和require_once。观察题目提供的PHP代码片段error_reporting(0); $file $_GET[file]; if(strpos($file, ../) ! false || strpos($file, tp) ! false || strpos($file, input) ! false || strpos($file, data) ! false){ echo Oh no!; exit(); } include($file);这段代码有几个关键点需要注意error_reporting(0)关闭了所有错误报告这使得攻击者更难通过错误信息获取系统内部细节$_GET[file]直接从URL参数获取文件路径这是典型的安全隐患黑名单过滤检查了../、tp、input、data等关键词include函数最终执行文件包含操作常见文件包含漏洞利用方式对比表利用方式描述本例是否适用目录遍历使用../跳转目录被过滤绝对路径直接指定系统文件路径可能适用日志注入包含access.log等日志文件可能适用PHP伪协议使用php://等协议主要突破点2. 黑名单过滤机制的局限性与绕过题目中设置了四类关键词过滤看似提供了基本防护但实际上存在明显缺陷路径遍历过滤不完整仅过滤了../但未考虑..\Windows路径未过滤....//等变形形式未检查编码后的payload如%2e%2e%2f协议过滤的不足tp过滤试图阻止http://但可能误伤合法字符未过滤其他危险协议如expect://、phar://大小写变体未被考虑如PHP://缺乏白名单验证最佳实践应只允许特定目录下的特定文件类型缺少文件扩展名检查绕过技巧示例使用php://filter代替被过滤的php://input尝试协议名称大小写混合PHP://filter双重编码特殊字符3. PHP伪协议的深度解析与利用PHP伪协议是文件包含漏洞中最强大的武器之一。让我们重点分析题目中使用的php://filter协议。3.1 php://filter工作原理php://filter是一种元数据过滤器可以在数据流打开时应用各种过滤器。其基本语法为php://filter/read过滤器链/resource要读取的文件在本题中攻击者使用了php://filter/readconvert.base64-encode/resourceflag.php这个payload的工作流程打开flag.php文件将文件内容通过base64编码过滤器输出编码后的内容为什么需要base64编码当直接包含flag.php时PHP会将其作为代码执行而我们只想读取其内容。base64编码可以避免PHP代码被执行将二进制数据转换为可安全传输的ASCII字符绕过某些内容检查机制3.2 其他有用的过滤器组合除了base64编码php://filter还支持多种过滤器// 字符串旋转ROT13 php://filter/readstring.rot13/resourceflag.php // 多过滤器链式调用 php://filter/readstring.toupper|string.rot13/resourceflag.php // 压缩数据 php://filter/readzlib.deflate/resourceflag.php3.3 写入利用的filter用法php://filter不仅可以读取还能用于写入时转换数据// 写入经过base64解码的内容 php://filter/writeconvert.base64-decode/resourceshell.php这个特性在某些特殊场景下可用于构造webshell。4. 其他伪协议的利用场景虽然题目中过滤了几个关键协议但了解完整的PHP伪协议家族对安全研究至关重要。4.1 php://input的妙用php://input允许读取原始的POST数据。虽然本题中被过滤但在其他场景下POST /vuln.php?filephp://input HTTP/1.1 ... ?php system(id); ?4.2 data://协议的危险性data://协议可将任意内容作为文件包含data://text/plain,?php phpinfo();? data://text/plain;base64,PD9waHAgc3lzdGVtKCdpZCcpOz84.3 phar://的反序列化利用phar协议不仅能包含文件还能触发反序列化操作phar:///path/to/phar.phar/internal/file结合精心构造的phar文件可实现更复杂的攻击。5. 防御策略与安全开发建议理解了攻击手段后我们更应关注如何防御这类漏洞。以下是几种有效的防护措施避免动态文件包含如必须使用应严格限制可包含的文件范围使用白名单而非黑名单安全配置建议// 示例安全配置 $allowed [safe_file1.php, safe_file2.php]; if(in_array(basename($file), $allowed)) { include(__DIR__./includes/.$file); }服务器层面防护设置open_basedir限制文件访问范围禁用危险的PHP协议allow_url_includeOff代码审计要点检查所有用户输入作为文件路径的情况特别注意include/require系列函数的使用验证文件路径前先规范化realpath在实际开发中我曾遇到过一个案例即使使用了白名单验证开发者忽略了路径遍历符号可能出现在文件名中导致防御被绕过。这提醒我们安全验证必须全面考虑各种边界情况。

从一道CTF题深入理解PHP文件包含漏洞：绕过过滤与伪协议利用详解

相关文章：

从一道CTF题深入理解PHP文件包含漏洞：绕过过滤与伪协议利用详解

保姆级教程：在STM32CubeIDE环境下配置TCA9548A I2C多路复用器，附完整工程代码

SpringBoot + JAIN-SIP 实战：手把手教你搭建国标GB28181摄像头管理后台（附完整代码）

老项目复活指南：一招解决Android Studio或Flutter因Gradle版本过旧引发的SSL连接错误

实测对比：Jetson NX上CUDA加速的OpenCV vs 默认版本，性能提升到底有多大？

debian12安装GCC15

别再只盯着电感了！聊聊手机快充和LED驱动里，那颗‘会飞’的电容是怎么把电压‘泵’上去的

从PyTorch自定义算子到CUDA 13原生kernel：5步完成端到端性能提效3.8倍，金融风控场景已验证

不只是数据通道：用TMS320F28374S的CLB X-BAR和ePWM X-BAR设计灵活的保护与同步逻辑

别再让数据库扛下所有：用Memcached给MySQL减负的5个实战场景与配置要点

避坑指南：在Proteus8中仿真51单片机红外通信(IRLINK)时，如何解决载波频率和协议解析的那些坑？

告别手动拖拽！用Lumerical脚本批量搭建FDTD仿真结构（附完整代码）

d2s-editor：暗黑破坏神2存档编辑器的终极免费解决方案

Linux服务器上配置vsftpd被动模式（PASV）的完整避坑指南：从端口范围到防火墙规则

如何区分网络延迟、抖动并针对性优化？

从一次线上BUG复盘说起：strict-origin-when-cross-origin如何影响你的第三方登录与支付回调

必要软件安装

AD9371裸机程序里那些容易配错的坑：SPI片选、SYSREF与时钟链详解

用零刻EQ12打造家庭网络中枢：iKuai主路由+OpenWrt旁路由+黑群晖的ESXi8.0实战配置

避坑指南：PX4 Gazebo仿真相机图像收不到？可能是UDP端口冲突了

别再只用jstack了！JDK自带的JMC（Java Mission Control）实战：5分钟搞定线上应用性能监控与JFR分析

智能机器人赋能锂电智造：工业场景化应用与落地实践—— 成都数智碳合机器人智能取送样系统，重塑锂电材料样品转运新生态

RK3588 MIPI屏幕点不亮？别慌！用这份DTS屏参调试清单快速排错

从问题到解决方案：AB Download Manager插件开发的架构思维与实践指南

告别纯Client模式：手把手教你用CANoe的NetWork Node搭建一个实时监控Server

高精度霍尔电流传感器在高压功率系统中的应用

PotPlayer智能字幕翻译终极体验：告别外语观影障碍的完整解决方案

springboot大学生校园跑腿服务系统的设计与实现沙箱支付

Java的@IntrinsicCandidate：JVM内建函数优化

RePKG：5分钟掌握Wallpaper Engine PKG提取与TEX转换的终极指南