引言

PHP伪协议是PHP中一种用于访问和操作不同类型数据资源的特殊机制。这些协议不仅限于文件系统操作，还包括网络流、压缩流等多种类型。然而，在PHP开发中，伪协议若被不当使用，可能会引发严重的安全漏洞，如敏感信息泄露、任意文件包含等。

什么是PHP伪协议

PHP伪协议，也称为封装协议，是PHP定义的一种特殊访问资源的方法。它们允许开发者在不直接操作物理文件的情况下，通过URL或其他标识符来访问和操作数据。这些协议常用于文件操作函数（如fopen(), file_get_contents(), include()等）中，以访问不同类型的资源。

常见的PHP伪协议

PHP支持多种伪协议，常见的包括：

1. file://： 用于访问本地文件系统。
2. http://,https://： 用于访问HTTP(s)网址。
3. ftp://： 用于访问FTP(s) URLs。
4. php://： 访问各个输入/输出流（I/O streams），包括php://input、php://filter等。
5. data://： 数据流封装器，允许将数据作为文件来访问。
6. zip://,bzip2://,zlib://： 访问压缩文件中的子文件。
7. phar://： 用于访问PHP归档文件。

PHP伪协议漏洞原理

在PHP开发中，如果开发者没有正确过滤用户输入，攻击者可以利用伪协议构造恶意URL，通过文件包含、文件读取等操作，访问服务器上的敏感文件或执行任意代码。

实际案例分析

案例一：利用php://filter读取敏感文件源码

场景描述：
假设有一个Web应用程序中存在一个文件包含漏洞，攻击者可以通过URL参数控制包含的文件。应用程序的源代码可能如下所示：

<?php  
$file = $_GET['page'];  
include($file . '.php');  
?>

攻击方式：
攻击者可以构造一个特殊的URL，利用**php://filter**伪协议来读取服务器上的敏感文件源码，而不是直接执行该文件。例如：

http://example.com/vulnerable.php?page=php://filter/read=convert.base64-encode/resource=config

这个请求会导致config.php文件的内容被Base64编码后输出到页面上。攻击者随后可以对编码后的内容进行解码，以获取config.php文件的原始源码。

案例二：利用zip://协议执行压缩包中的恶意代码

场景描述：
在某些情况下，Web应用程序可能允许用户上传压缩文件，并在服务器端包含这些文件中的某个脚本执行。如果应用程序没有正确验证上传文件的类型或内容，攻击者可以利用zip://伪协议来执行压缩包中的恶意代码。
攻击方式：

1. 攻击者首先创建一个包含恶意PHP代码的ZIP文件，例如malicious.zip，其中包含一个名为shell.php的恶意脚本。
2. 然后，攻击者将ZIP文件的后缀名更改为允许上传的类型，如.jpg，并上传至服务器。
3. 一旦文件被上传，攻击者可以构造一个URL，利用zip://伪协议来包含并执行ZIP文件中的恶意脚本。例如：

http://example.com/include.php?file=zip://path/to/malicious.jpg%23shell.php

注意：URL中的%23是#字符的URL编码，用于指定ZIP文件内的子文件。

案例三：利用data://协议执行任意代码

场景描述：
在某些配置下（即allow_url_fopen和allow_url_include均被启用），攻击者可以利用**data://**伪协议来执行任意PHP代码。data://伪协议允许将数据作为文件来访问，攻击者可以构造一个包含PHP代码的data URL，并通过文件包含漏洞执行它。
攻击方式：
攻击者可以构造一个特殊的URL，如下所示：

http://example.com/vulnerable.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOyA/Pg==

这里的Base64编码字符串解码后是<?php phpinfo(); ?>，即执行phpinfo()函数的PHP代码。如果服务器的配置允许，这段代码将被执行，并显示PHP的配置信息。