别只记一个base64了！手把手教你用PHP filter伪协议绕过CTF题中的字符过滤（附完整payload）

CTFPHP安全web安全filter伪协议

于 2026-05-31 11:58:56 修改

·本内容遵循CC 4.0 BY-SA版权协议

PHP Filter伪协议高阶玩法：从编码转换到WAF绕过实战

在CTF比赛中，PHP的filter伪协议常被用来绕过各种字符限制和WAF规则。大多数选手只熟悉基础的convert.base64-encode用法，但实际上filter协议的功能远不止于此。本文将深入探讨如何利用filter协议的各种过滤器组合实现高级绕过技巧。

1. Filter伪协议基础回顾

PHP的filter伪协议提供了多种数据过滤和转换功能，主要分为以下几类：

字符串过滤器：如string.rot13、string.toupper
转换过滤器：如convert.base64-encode、convert.quoted-printable-encode
编码转换过滤器：如convert.iconv.*
压缩过滤器：如zlib.deflate
加密过滤器：如mcrypt.*

基础用法示例：

PHP

// 读取文件并base64编码

file_get_contents('php://filter/read=convert.base64-encode/resource=flag.php');

// 写入时进行rot13编码

file_put_contents('php://filter/write=string.rot13/resource=output.txt', 'secret');

2. 过滤器链的威力

filter协议真正的强大之处在于可以串联多个过滤器，形成处理流水线。过滤器按从左到右的顺序依次应用。

典型过滤器链结构：

TEXT

php://filter/[read=|write=]filter1|filter2|filter3/resource=filename

关键技巧：

每个过滤器用竖线|分隔
可以混合不同类型的过滤器
某些过滤器组合会产生意想不到的效果

3. 编码转换的高级应用

convert.iconv过滤器可以实现不同字符编码间的转换，这在绕过字符限制时非常有用。

常用编码转换组合：

转换方向	效果描述	典型应用场景
UTF-8 → UTF-16	将ASCII字符转换为双字节	生成非常规字符
UTF-16 → UTF-8	将双字节转换回单字节	还原原始数据
UTF-8 → UCS-2	类似UTF-16但略有不同	特定场景下的绕过

示例代码：

PHP

// 将字符串从UTF-8转换为UTF-16BE

$encoded = file_get_contents('php://filter/read=convert.iconv.utf-8.utf-16be/resource=data:,hello');

4. 实战：绕过CTF中的字符限制

让我们通过一个模拟CTF题目来演示如何组合使用这些技术。假设题目有以下限制：

禁止使用特定关键词（如"flag"）
限制文件写入内容
对输入进行严格过滤

绕过步骤：

准备payload：

PHP

// 原始payload

$payload = 'system("cat /flag");';

// 转换为base64

$base64 = base64_encode($payload);

// 再进行UTF-8到UTF-16的转换

$encoded = iconv('UTF-8', 'UTF-16', $base64);

构建过滤器链：

TEXT

php://filter/

convert.quoted-printable-decode|

convert.iconv.utf-16.utf-8|

convert.base64-decode

/resource=payload.txt

执行流程解析：

首先quoted-printable-decode处理特殊编码
然后iconv将UTF-16转换回UTF-8
最后base64-decode还原原始PHP代码

5. 防御与检测建议

虽然filter协议功能强大，但作为防御方也需要了解如何检测和防范这类攻击：

防御措施：

严格限制文件操作函数的参数
禁用不必要的协议包装器
对用户输入进行多重验证

检测方法：

PHP

// 检测是否包含filter伪协议

if (preg_match('/php:\/\/filter/i', $input)) {

die('可疑输入 detected');

}

在实际开发中，应当遵循最小权限原则，只允许必要的协议和操作。