PHP学习记录18(PHP伪协议)
<div class="partintro"><p class="para">PHP伪协议其实就是支持的协议和封装协议。</p>
<div style="position: absolute; left: -99999px">PHP伪协议事实上就是支持的协议与封装协议(12种)</div>
<p class="para">PHP 带有很多内置 URL 风格的封装协议, 除了这些封装协议,还能通过 <span class="function">stream_wrapper_register()</span> 来注册自定义的封装协议。</p>
<p>要成功应用伪协议需要php.ini文件的allow_url_fopen 默认开启</p>
<p> allow_url_include 默认关闭</p>
<ul class="chunklist chunklist_reference">
<li>file:// — 访问本地文件系统</li>
<li>http:// — 访问 HTTP(s) 网址</li>
<li>ftp:// — 访问 FTP(s) URLs</li>
<li>php:// — 访问各个输入/输出流(I/O streams)</li>
<li>zlib:// — 压缩流</li>
<li>data:// — 数据(RFC 2397)</li>
<li>glob:// — 查找匹配的文件路径模式</li>
<li>phar:// — PHP 归档</li>
<li>ssh2:// — Secure Shell 2</li>
<li>rar:// — RAR</li>
<li>ogg:// — 音频流</li>
<li>expect:// — 处理交互式的流</li>
</ul>
<div class="refnamediv">
<h1 class="refname">file://</h1>
<p class="refpurpose"><span class="refname">file:// — <span class="dc-title">访问本地文件系统</span></span></p>
</div>
<h3 class="title">说明</h3>
<p><em class="emphasis">文件系统</em> 是 PHP 使用的默认封装协议,展现了本地文件系统。</p>
<p>file://协议在双off的情况下也是可以正常使用的。<br>allow_url_fopen :off/on<br>allow_url_include:off/on<br>file://用于访问本地文件系统,在CTF中常用来读取本地文件。<br>使用方法:file://文件的绝对路径和文件名。<br>Eg:http://127.0.0.1/cmd.php?file=file://D:/soft/phpStudy/WWW/phpcode.txt</p>
<div class="refnamediv">
<h1 class="refname">http:// https://</h1>
<p class="refpurpose"><span class="refname">http:// -- <span class="refname">https:// — <span class="dc-title">访问 HTTP(s) 网址</span></span></span></p>
<div class="refnamediv">
<h1 class="refname">ftp:// ftps://</h1>
<p class="refpurpose"><span class="refname">ftp:// -- <span class="refname">ftps:// — <span class="dc-title">访问 FTP(s) URLs</span></span></span></p>
</div>
<div class="refnamediv">
<div class="refnamediv">
<h1 class="refname">php://</h1>
<p class="refpurpose"><span class="refname">php:// — <span class="dc-title">访问各个输入/输出流(I/O streams)</span></span>.</p>
<p class="refpurpose">php://stdin(只读)、php://stdout 和 php://stderr (只写) 允许直接访问 PHP 进程相应的输入或者输出流, 推荐使用常量 STDIN、 STDOUT 和 STDERR 来代替手工打开这些封装器。</p>
<h3 class="title">php://input</h3>
<p>php://input 是个可以访问请求的原始数据的只读流。 POST 请求的情况下,最好使用 php://input 来代替 $HTTP_RAW_POST_DATA,因为它不依赖于特定的 php.ini 指令。 而且,这样的情况下 $HTTP_RAW_POST_DATA 默认没有填充, 比激活 always_populate_raw_post_data 潜在需要更少的内存。 enctype="multipart/form-data" 的时候 php://input 是无效的。</p>
<p><span style="color: rgba(255, 0, 0, 1)">Note: 在 PHP 5.6 之前 php://input 打开的数据流只能读取一次; 数据流不支持 seek 操作。 不过,依赖于 SAPI 的实现,请求体数据被保存的时候, 它可以打开另一个 php://input 数据流并重新读取。 通常情况下,这种情况只是针对 POST 请求,而不是其他请求方式,比如 PUT 或者 PROPFIND。5.6.0 以上支持php://input 可反复使用。</span></p>
<p><span style="color: rgba(255, 0, 0, 1)">将POST输入流当做PHP代码执行。其只受 allow_url_include参数的影响,allow_url_fopen开关与此伪协议无关。</span></p>
<p> </p>
<p>此协议需要allow_url_include为on,可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。</p>
<p> </p>
<p>使用方法:php://input,然后post需要执行的数据 如http://127.0.0.1/cmd.php?file=php://input 然后在post中<?php phpinfo() ?><img src="https://img2018.cnblogs.com/common/1937742/202002/1937742-20200208105940639-1014101743.png" alt="" class="medium-zoom-image"></p>
<p> </p>
<p> </p>
<h3>php://output</h3>
<p>php://output 是一个只写的数据流, 允许你以 print 和 echo 一样的方式 写入到输出缓冲区。</p>
<p> </p>
<div id="wrappers.php.fd" class="refsect2 unknown-unknown-unknown-unknown-descriptior">
<h4 class="title">php://fd</h4>
<p class="simpara"><var class="filename">php://fd</var> 允许直接访问指定的文件描述符。 例如 <var class="filename">php://fd/3</var> 引用了文件描述符 3。</p>
</div>
<p><em>文件描述符</em>0、1和2分别代表stdin、stdout和stderr。</p>
<p> </p>
<h3 class="title">php://memory 和 php://temp</h3>
<p class="simpara"><span style="font-size: 14px"><var class="filename">php://memory</var><span class="Apple-converted-space"> 和<span class="Apple-converted-space"> <var class="filename">php://temp</var><span class="Apple-converted-space"> 是一个类似文件 包装器的数据流,允许读写临时数据。 两者的唯一区别是<span class="Apple-converted-space"> <var class="filename">php://memory</var>总是把数据储存在内存中, 而<span class="Apple-converted-space"> <var class="filename">php://temp</var><span class="Apple-converted-space"> 会在内存量达到预定义的限制后(默认是 2MB)存入临时文件中。 临时文件位置的决定和<span class="Apple-converted-space"> <span class="function">sys_get_temp_dir()<span class="Apple-converted-space"> 的方式一致。</span></span></span></span></span></span></span></span></span></span></p>
<p class="simpara"><span style="font-size: 14px"><var class="filename">php://temp</var><span class="Apple-converted-space"> 的内存限制可通过添加<span class="Apple-converted-space"> <em>/maxmemory:NN</em><span class="Apple-converted-space"> 来控制,<em>NN</em><span class="Apple-converted-space"> 是以字节为单位、保留在内存的最大数据量,超过则使用临时文件。</span></span></span></span></span></p>
<p class="simpara"> </p>
<p class="simpara"> </p>
<h3 class="title">php://filter</h3>
<p class="simpara"> </p>
<p class="simpara"><span style="font-size: 14px"><var>php://filter</var><span class="Apple-converted-space"> 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似<span class="Apple-converted-space"> <span class="function">readfile()、<span class="Apple-converted-space"> <span class="function">file()<span class="Apple-converted-space"> 和<span class="Apple-converted-space"> <span class="function">file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。</span></span></span></span></span></span></span></span></span></p>
<p class="simpara"> </p>
<p class="para"><span style="font-size: 14px"><var class="filename">php://filter</var><span class="Apple-converted-space"> 目标使用以下的参数作为它路径的一部分。 复合过滤链能够在一个路径上指定。详细使用这些参数可以参考具体范例。</span></span></p>
<p class="simpara"> </p>
<p>php://filter 参数</p>
<p class="simpara"> </p>
<div class="table-wrapper">
<table class="doctable table" style="height: 178px; width: 1392px">
<thead>
<tr><th>名称</th><th>描述</th></tr>
</thead>
<tbody class="tbody">
<tr>
<td><span style="font-size: 14px">resource=<要过滤的数据流></span></td>
<td><span style="font-size: 14px">这个参数是必须的。它指定了你要筛选过滤的数据流。这个参数必须位于<span class="Apple-converted-space"> <var class="filename">php://filter</var><span class="Apple-converted-space"> 的末尾,并且指向需要过滤筛选的数据流。</span></span></span></td>
</tr>
<tr>
<td><span style="font-size: 14px">read=<读链的筛选列表></span></td>
<td><span style="font-size: 14px">该参数可选。可以设定一个或多个过滤器名称,以管道符(<em>|</em>)分隔。</span></td>
</tr>
<tr>
<td><span style="font-size: 14px">write=<写链的筛选列表></span></td>
<td><span style="font-size: 14px">该参数可选。可以设定一个或多个过滤器名称,以管道符(<em>|</em>)分隔。</span></td>
</tr>
<tr>
<td><span style="font-size: 14px"><;两个链的筛选列表></span></td>
<td><span style="font-size: 14px">任何没有以<span class="Apple-converted-space"> <em>read=</em><span class="Apple-converted-space"> 或<span class="Apple-converted-space"> <em>write=</em><span class="Apple-converted-space"> 作前缀 的筛选器列表会视情况应用于读或写链。</span></span></span></span></span></td>
</tr>
</tbody>
</table>
</div>
<p class="simpara"> </p>
<div class="cnblogs_code">
<div class="cnblogs_code_toolbar"><span class="cnblogs_code_copy"><img src="https://common.cnblogs.com/images/copycode.gif" alt="复制代码"></span></div>
<pre><span style="color: rgba(0, 128, 0, 1)">//<span style="color: rgba(0, 128, 0, 1)"> php://filter/resource=<待过滤的数据流>
<span style="color: rgba(0, 128, 128, 1)">readfile("php://filter/resource=http://www.example.com"<span style="color: rgba(0, 0, 0, 1)">);
<span style="color: rgba(0, 128, 0, 1)">//<span style="color: rgba(0, 128, 0, 1)"> php://filter/read=<读链需要应用的过滤器列表><span style="color: rgba(0, 128, 0, 1)">
/*<span style="color: rgba(0, 128, 0, 1)"> 这会以大写字母输出 www.example.com 的全部内容 <span style="color: rgba(0, 128, 0, 1)">*/
<span style="color: rgba(0, 128, 128, 1)">readfile("php://filter/read=string.toupper/resource=http://www.example.com"<span style="color: rgba(0, 0, 0, 1)">);
<span style="color: rgba(0, 128, 0, 1)">/*<span style="color: rgba(0, 128, 0, 1)"> 这会和以上所做的一样,但还会用 ROT13 加密。 <span style="color: rgba(0, 128, 0, 1)">*/
<span style="color: rgba(0, 128, 128, 1)">readfile("php://filter/read=string.toupper|string.rot13/resource=http://www.example.com"<span style="color: rgba(0, 0, 0, 1)">);
<span style="color: rgba(0, 128, 0, 1)">//<span style="color: rgba(0, 128, 0, 1)"> php://filter/write=<写链需要应用的过滤器列表>
<span style="color: rgba(0, 128, 128, 1)">file_put_contents("php://filter/write=string.rot13/resource=example.txt","Hello World");</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></pre>
<div class="cnblogs_code_toolbar"><span class="cnblogs_code_copy"><img src="https://common.cnblogs.com/images/copycode.gif" alt="复制代码"></span></div>
<div class="cnblogs_code_toolbar"> </div>
</div>
<p class="simpara"> php://filter伪协议:不受 allow_url_fopen与allow_url_include参数的影响</p>
<p> <img src="https://img2018.cnblogs.com/blog/1413560/201907/1413560-20190705093743265-2047698779.png" alt="" class="medium-zoom-image"></p>
<p> 此协议主要用于读取php源代码时会用到。</p>
<p> 例如:http://localhost/test.php?file=php://filter/read=convert.base64-encode/resource=./1.php</p>
<p> <img src="https://img2018.cnblogs.com/blog/1413560/201907/1413560-20190705095109423-1962657349.png" alt="" class="medium-zoom-image"></p>
<p> 也就是说,将一个PHP文件通过base64编码读出。倘若不加read读取链,则会将其中内容当做PHP代码执行,倘若如此,则无法读取PHP文件内容,于是在读取链中将其编码。</p>
<p> 例如:php://filter/resource=./1.txt</p>
<p> <img src="https://img2018.cnblogs.com/blog/1413560/201907/1413560-20190705095556580-1616535742.png" alt=""> </p>
<p> <img src="https://img2018.cnblogs.com/blog/1413560/201907/1413560-20190705095702129-18844671.png" alt="" class="medium-zoom-image"></p>
<p> 所以说,php://filter此协议不受参数影响,即可读取文件内容,也可包含恶意文件直接getshell。</p>
<p> 例如:将1.txt修改为<img src="https://img2018.cnblogs.com/blog/1413560/201907/1413560-20190705100558653-141327820.png" alt=""></p>
<p> 菜刀连接:http://localhost/test.php?file=php://filter/resource=./1.txt</p>
<p> <img src="https://img2018.cnblogs.com/blog/1413560/201907/1413560-20190705100817951-43208689.png" alt="" class="medium-zoom-image"></p>
<p> getshell成功</p>
<p> </p>
<div class="refnamediv">
<h1 class="refname">zlib:// bzip2:// zip://</h1>
<p class="refpurpose"><span class="refname">zlib:// -- <span class="refname">bzip2:// -- <span class="refname">zip:// — <span class="dc-title">压缩流</span></span></span></span></p>
<p class="refpurpose"><span class="refname"><span class="refname"><span class="refname"><span class="dc-title">试想倘若有一种情况限制文件后缀为php文件,并且上传文件只能传jpg文件。allow_url_fopen参数与allow_url_include参数全部off的情况下。</span></span></span></span></p>
<p> </p>
<div class="cnblogs_Highlighter sh-gutter">
<div>
<div id="highlighter_404366" class="syntaxhighlighterphp">
<table border="0" cellspacing="0" cellpadding="0">
<tbody>
<tr>
<td class="gutter"> </td>
<td class="code"> </td>
</tr>
</tbody>
</table>
</div>
</div>
</div>
<p> 貌似之前所用伪协议都无效,比较旧的版本可以使用00截断,路劲长度截断等。但是若无截断漏洞该如何?</p>
<p> 此种情况下可以使用zip伪协议,将木马放入压缩包中,再将压缩包后缀修改为上传白名单,然后使用zip伪协议进行包含。</p>
<p> 例如:zip://绝对路径\需要解压缩的文件%23子文件名 </p>
<p> <img src="https://img2018.cnblogs.com/blog/1413560/201907/1413560-20190705103140781-586712289.png" alt="" class="medium-zoom-image"></p>
<p> </p>
<p><strong><span style="font-size: 18pt">phar://伪协议</span></strong></p>
<p> 同zip伪协议。故上述问题此协议也可解决。</p>
<p> phar://cc.jpg/cc,与zip协议不同的是zip协议为绝对路径,而phar协议为相对路径。</p>
<p> <img src="https://img2018.cnblogs.com/blog/1413560/201907/1413560-20190705104359607-1557266414.png" alt="" class="medium-zoom-image"></p>
<p> </p>
<p><strong><span style="font-size: 18pt">data://伪协议</span></strong></p>
<p><span style="font-size: 13px"><strong>可以看到,此协议是受 allow_url_include 限制的。所以 allow_url_fopen参数与allow_url_include都需开启。</strong></span></p>
<p> data://text/plain,<?php phpinfo();?>。test/plain, 后面的值会被当做php代码执行。</p>
<p> </p>
<p> <img src="https://img2018.cnblogs.com/blog/1413560/201907/1413560-20190705105512509-895775713.png" alt="" class="medium-zoom-image"></p>
<p> </p>
<p> 也可如此:data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=</p>
<p> </p>
<p> <img src="https://img2018.cnblogs.com/blog/1413560/201907/1413560-20190705105828223-566659137.png" alt="" class="medium-zoom-image"></p>
<p> </p>
<div id="BlogPostCategory">
<div class="refnamediv">
<h1 class="refname">glob://</h1>
<p class="refpurpose"><span class="refname">glob:// — <span class="dc-title">查找匹配的文件路径模式</span></span></p>
<div class="cnblogs_code">
<pre><?<span style="color: rgba(0, 0, 0, 1)">php
</span><span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)"> 循环 ext/spl/examples/ 目录里所有 *.php 文件
// 并打印文件名和文件尺寸</span>
<span style="color: rgba(128, 0, 128, 1)">$it</span> = <span style="color: rgba(0, 0, 255, 1)">new</span> DirectoryIterator("glob://ext/spl/examples/*.php"<span style="color: rgba(0, 0, 0, 1)">);
</span><span style="color: rgba(0, 0, 255, 1)">foreach</span>(<span style="color: rgba(128, 0, 128, 1)">$it</span> <span style="color: rgba(0, 0, 255, 1)">as</span> <span style="color: rgba(128, 0, 128, 1)">$f</span><span style="color: rgba(0, 0, 0, 1)">) {
</span><span style="color: rgba(0, 128, 128, 1)">printf</span>("%s: %.1FK\n", <span style="color: rgba(128, 0, 128, 1)">$f</span>->getFilename(), <span style="color: rgba(128, 0, 128, 1)">$f</span>->getSize()/1024<span style="color: rgba(0, 0, 0, 1)">);
}
</span>?></pre>
</div>
<p> </p>
<p> </p>
<p>伪协议的利用可以读取本地文件,窃取源码信息,导致代码执行等,危害巨大。<br>但php伪协议的使用受限于 allow_url_fopen 和 allow_url_include 的开启<br>allow_url_fopen是默认开启的<br>allow_url_include是默认关闭的<br>所以把控好配置的开关,最好把远程文件包含关闭。 </p>
</div>
</div>
<h2><span style="font-weight: bold">1.file://访问本地文件系统</span></h2>
<div class="cnblogs_code">
<pre>?test=<span style="color: rgba(0, 128, 128, 1)">file</span>:<span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)">/path/123.txt?test=file://C:/windows/win.ini</span></pre>
</div>
<p> </p>
<h2><span style="font-weight: bold"><span style="font-weight: bold">2.php:// 访问各个输入/输出流</span></span></h2>
<p><span style="font-weight: bold">php://input 是个可以访问请求的原始数据的只读流。<br>php://output 是一个只写的数据流, 允许你以 print 和 echo 一样的方式 写入到输出缓冲区。<br>php://filter 是一种元封装器,设计用于数据流打开时的筛选过滤应用。利用方式:</span></p>
<div class="cnblogs_code">
<pre>?test=php:<span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)">input【post data】<?php phpinfo();?></span></pre>
</div>
<p>通过input流在 POST数据 处进行行传入数据,实现代码执行</p>
<div class="cnblogs_code">
<pre>?test=php:<span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)">filter/resource=1.txt?test=php://filter/read=convert.base64-encode/resource=123.php</span></pre>
</div>
<p>通过此方法可以 读取源码 ,通常使用第二种将源码转为 base64 的方式,防止特殊字符报错。</p>
<p> </p>
<h2><span style="font-weight: bold">3.data:// — 数据</span></h2>
<div class="cnblogs_code">
<pre>?test=data:<span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)">test/plain,<?php phpinfo();?>?test=data:text/plain,<?php phpinfo();?>?test=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8+</span></pre>
</div>
<p>通过data伪协议将 数据上传并执行 。<br><br></p>
<p> </p>
<p><span style="font-size: 18pt">4、<span style="font-weight: bold"><span style="font-weight: bold">zip和phar</span></span></span></p>
<div class="cnblogs_code">
<pre>?test=phar:<span style="color: rgba(0, 128, 0, 1)">//<span style="color: rgba(0, 128, 0, 1)">./123/file.jpg/1.php?test=zip://./123/file.zip/1.php</span></span></pre>
</div>
<p> 利用zip或phar伪协议可以读取压缩包中的文件,解压的压缩包与后缀无关。<br>如将file.txt压缩成zip,改后缀为jpg
绕过上传限制
在通过phar
读取压缩包
内的内容。</p>
<p> </p>
<h1 id="articleContentId" class="title-article">五种常见的php伪协议</h1>
<h2>1、php://input</h2>
<p>可以获取POST的数据流</p>
<div class="cnblogs_code">
<pre><span style="color: rgba(0, 0, 0, 1)">条件:
allow_url_include</span>=<span style="color: rgba(0, 0, 0, 1)">On
allow_url_fopen</span>-Off/<span style="color: rgba(0, 0, 0, 1)">On
POC</span>:
<span style="color: rgba(0, 128, 128, 1)">file</span> =php:<span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)">input</span>
POST:<span style="color: rgba(0, 128, 128, 1)">phpinfo</span>();</pre>
</div>
<h2>2、php://filter</h2>
<p>可以获取指定文件的源码,但是当他与包含函数结合是,php://filter流会被当做php文件执行<br> 。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取</p>
<div class="cnblogs_code">
<pre><span style="color: rgba(0, 0, 0, 1)">条件:
allow_url_fopen</span>=Off/<span style="color: rgba(0, 0, 0, 1)">On
allow_url_include</span>=Off/<span style="color: rgba(0, 0, 0, 1)">On
POC</span>:
?<span style="color: rgba(0, 128, 128, 1)">file</span>=php:<span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)">filter/read=convert.base64-encode/resource=phpinfo.php</span></pre>
</div>
<h2>3、zip://</h2>
<p>可以访问压缩包里的文件。当他与包含函数结合时,zip://流会被当做php文件执行。<br> 从而实现任意文件执行。<br> 同类型的还有:zlib:// 和bzip2://</p>
<div class="cnblogs_code">
<pre><span style="color: rgba(0, 0, 0, 1)">条件:
必须要zip压缩包(后缀无所谓,文件格式是zip就行)。
allow_url_fopen</span>=Off/<span style="color: rgba(0, 0, 0, 1)">On
allow_url_include</span>=Off/<span style="color: rgba(0, 0, 0, 1)">On
php </span>>=5.2<span style="color: rgba(0, 0, 0, 1)">
POC</span>:<span style="color: rgba(0, 0, 0, 1)">
zip</span>:<span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)">[压缩包绝对路径]#[压缩包内的文件]</span>
?<span style="color: rgba(0, 128, 128, 1)">file</span>=zip:<span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)">D:\zip.zip%23phpinfo.txt</span></pre>
</div>
<h2>4、phar://</h2>
<p>和zip://类似<br> 绝对路径和相对路径都可以</p>
<div class="cnblogs_code">
<pre><span style="color: rgba(0, 0, 0, 1)">条件:
必须要zip压缩包(后缀无所谓,文件格式是zip就行)。
allow_url_fopen</span>=Off/<span style="color: rgba(0, 0, 0, 1)">On
allow_url_include</span>=Off/<span style="color: rgba(0, 0, 0, 1)">On
php </span>>=5.2<span style="color: rgba(0, 0, 0, 1)">
POC</span>:<span style="color: rgba(0, 0, 0, 1)">
zip</span>:<span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)">[压缩包绝对路径]#[压缩包内的文件]</span>
?<span style="color: rgba(0, 128, 128, 1)">file</span>=zip:<span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)">D:\zip.zip/phpinfo.php(与zip://不同之处在于一个是# ,一个是/)</span></pre>
</div>
<h2>5、data://</h2>
<p>同样类似于php://input</p>
<div class="cnblogs_code">
<pre><span style="color: rgba(0, 0, 0, 1)">条件:
allow_url_fopen</span>=<span style="color: rgba(0, 0, 0, 1)">On
allow_url_include</span>=<span style="color: rgba(0, 0, 0, 1)">On
POC</span>:
?<span style="color: rgba(0, 128, 128, 1)">file</span>=data:<span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)">,<?php phpinfo();</span>
?<span style="color: rgba(0, 128, 128, 1)">file</span>=data:<span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)">text/plain,<php phpinfo();</span>
?<span style="color: rgba(0, 128, 128, 1)">file</span>=data:<span style="color: rgba(0, 128, 0, 1)">//</span><span style="color: rgba(0, 128, 0, 1)">text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=</span>
?<span style="color: rgba(0, 128, 128, 1)">file</span>=data:text/plain,<php <span style="color: rgba(0, 128, 128, 1)">phpinfo</span><span style="color: rgba(0, 0, 0, 1)">();
</span>?<span style="color: rgba(0, 128, 128, 1)">file</span>=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=</pre>
</div>
<p> </p>
<p> </p>
</div>
</div>
</div>
</div>
<div style="position: absolute; left: -99999px">ile://协议在双off的情况下也是可以正常使用的。 <br>
<br>allow_url_fopen :off/on
<br>
<br>allow_url_include:off/on
<br>
<br>file://用于访问本地文件系统,在CTF中常用来读取本地文件。
<br>
<br>使用方法:file://文件的绝对路径和文件名。
<br>
<br>Eg:http://127.0.0.1/cmd.php?file=file://D:/soft/phpStudy/WWW/phpcode.txt</div>
</div>
<div style="position: absolute; left: -99999px">
<div style="position: absolute; left: -99999px">PHP伪协议事实上就是支持的协议与封装协议(12种)</div>
PHP伪协议事实上就是支持的协议与封装协议(12种)</div><br><br>
来源:https://www.cnblogs.com/shawCE/p/15507496.html
頁:
[1]