浅谈php://filter

最新推荐文章于 2023-10-31 23:39:37 发布
最新推荐文章于 2023-10-31 23:39:37 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: CTF 文章标签: CTF web php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38161055/article/details/83997993
版权

php://    访问各个输入/输出流

 

php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents()

 

php://filter 目标使用以下的参数作为它路径的一部分。 复合过滤链能够在一个路径上指定。

php://filter 参数
名称描述
resource=<要过滤的数据流>这个参数是必须的。它指定了你要筛选过滤的数据流。
read=<读链的筛选列表>该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
write=<写链的筛选列表>该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
<;两个链的筛选列表>任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。

php://filter/resource=<待过滤的数据流>(就是文件的路径)

php://filter/read=<读链需要应用的过滤器列表>(就是具体的操作)

 

例子

 /* 会以大写字母并且rot13加密的形式输出 www.example.com 的全部内容 */

readfile("php://filter/read=string.toupper|string.rot13/resource=http://www.example.com");

打开将x.php的源码以base64的形式输出

php://filter/read=convert.base64-encode/resource=./x.php

 

编不下去,我自己也没有弄懂啊!以后理解清楚在从新写过,现在当备份吧!

其实就是再做CTF的web练习题是遇到的

http://123.206.87.240:8005/post/index.php

 

-Q-
关注
专栏目录
PHP 过滤Filter
测试0901-1
04-13 148
简介PHP 过滤用于验证和过滤来自非安全来源的数据。验证和过滤用户输入或自定义数据是任何 Web 用程序的重要组成部分。设计 PHP 的过滤扩展的目的是使数据过滤更轻松快捷。 由于大部分Web用程序都依赖于外部数据的输入,这些数据的来源包括: 来自表单的输入数据 Cookies 服务变量 数据库查询结果 ...
PHP Filter 函数
unber的博客
09-03 256
PHP 过滤用于对来自非安全来源的数据(比如用户输入)进行验证和过滤。
php://filter
2202_75317918的博客
04-12 3212
php://filter
PHP】强大的filter_var
Arthur Guo 的专栏
09-13 5423
猫哥代码时候经常会遇到各种需要判断的: 判断是否数字;判断是否字符串;判断是否合法email;判断是否IPv4地址;...... 从前总会傻傻地各种正则表达式,虽然正则水平有所提高,但是效率低吖~ 直到有一天猫哥发现了
phpfilter,PHPfilter协议详解
weixin_33016287的博客
03-12 657
本文主要和大家分享PHPfilter协议详解,希望能帮助到大家。php:// — 访问各个输入/输出流(I/O streams)php://input 是个可以访问请求的原始数据的只流。php://filter 是一种设计用来允许过滤程序在打开时成为流的封装协议。这对于单独具有完整功能的文件函数非常有用,否则就没有机会在取内容之前将过滤用于流之上。该协议语法为:php://filter...
浅谈php://filter的妙用
01-02
php://filterPHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也...
浅谈php安全性需要注意的几点事项
10-25
1. 输入验证:对用户提交的所有数据进行验证,确保其符合预期的格式,例如,使用`filter_var`函数检查电子邮件地址的格式,或使用正则表达式验证手机号码。 2. 避免使用`eval`函数:`eval`会将字符串当PHP代码...
浅谈PHP 闭包特性在实际用中的问题
10-29
如果要封装ArrayObject类以使用闭包,可以创建一个自定义的类来扩展ArrayObject,然后在这个类中实现map和filter等方法。这样,就可以利用闭包进行复杂的数组操,同时保持代码的优雅和可性。这种封装可以让PHP...
浅谈Eclipse PDT调试PHP程序
12-18
【Eclipse PDT调试PHP程序详解】 在PHP开发中,Eclipse PDT(PHP Development Tools)是一个强大的集成开发环境,它提供了代码编辑、调试、版本控制等多种功能。本文将深入讲解如何在Eclipse中设置和使用PDT进行PHP...
phpfilter的妙用
weixin_44576725的博客
04-14 4666
php://filter的妙用 php://filterPHP中独有的协议,利用这个协议可以创造很多“妙用”。 php://filter php://filter 是一种元封装, 设计用于数据流打开时的筛选过滤用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、file()和 file_get_contents(), 在数据流内容取之前没有机会用其他过滤php://filter 目标使用以下的参数为它路径的一部分。 复合过滤能够在一个路径上指定。
php:filter:// 的学习
sworddancing is the best one
07-19 320
今天我做到了一道关于index.phpctf题,里面有一个解题关键就是php:filter://的使用,因此我就百度了一下它的用法:  php:filter://是php中的一个协议,利用这个协议我们可以解决一些ctf的题目,或者挖掘出一些漏洞 php://filter可以为一个中间流来处理其他流,具有四个参数: 名称 描述 备注 resource=&lt;要过滤的数据流...
PHP伪协议filter详解,php://filter协议过滤
热门推荐
wangyuxiang946的博客
06-12 1万+
PHP://filter协议 PHP filter 过滤
buuctf web刷题笔记
2301_78260987的博客
10-14 106
爆表:/check.php?参考接:https://blog.csdn.net/m0_52923241/article/details/119641325。先试一下常规注入:/check.php?
WEB安全(文件包含)记一
最新发布
weixin_49064458的博客
10-31 170
文件包含是指会在单个文件入需要重复使用的函数,在需要使用的时候就直接调用此文件,这种文件调用的过程一般被称为文件包含。
CTF-web 第八部分 常见加密与文件包含 伪协议
iamsongyu的博客
11-05 2154
(1)加密解密等 我们在做题的时候,经常会遇到一些奇怪的加密解密的字符串,这就需要我们能够识别一些比较常用的。        1.base64         这是一个常用的编码,而且原理也十分简单,非常容易得到原内容。 三字节变为四字节 前面补两个0。  所谓Base64,就是说选出64个字符----小字母a-z、大字母A-Z、数字0-9、符号"+"、"/"(再加上为垫字的"=",实...
php审计基础三:php封装协议小总结
一个码农的笔记
09-21 3182
【1】php://stdin 主要用于php cli 的输入 用: <? while($line = fopen('php://stdin','r')){ echo fgets($line); } ?> 【2】php://stdout 主要用于php cli的输出 用: <?php $fh = fopen('php://stdout', 'w')
详解php://filter以及死亡绕过
woshilnp的博客
05-25 1万+
详解php://filter以及死亡绕过 php://filter PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操其他入文件资源的过滤php:// — 访问各个输入/输出流(I/O streams) php://filter 是一种元封装, 设计用于数据流打开时的筛选过滤用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_ge
php://filter利用条件,浅谈php://filter技巧
weixin_33744799的博客
03-28 1168
php://filterphp://filter可以为一个中间流来处理其他流,具有四个参数:名称描述备注resource=指定了你要筛选过滤的数据流必选read=可以设定一个或多个过滤名称,以管道符(|)分隔。可选write=可以设定一个或多个过滤名称,以管道符(|)分隔。可选任何没有read= 或 write= 前缀筛选列表会视情况用于。巧用编码与解码$content ...
文件包含漏洞
jpygx123的博客
10-25 4067
文件包含漏洞 严格来说,文件包含漏洞是“代码注入”的一种,这种攻击其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。 常见的导致文件包含(文件取)的函数如下: PHP: include():使用此函数,只有代码执行到此函数时才将文件包含进来,发生错误时只警告并继续执行。 require():使用此函数,只要程序执行,立即调用此函数包含文件,发生错误时,会输出错误信息并立即终...
PHP伪协议详解:file:///与php://功能与安全设置
- **条件**:PHP配置中的`allow_url_fopen` 和 `allow_url_include` 选项影响其使用。默认情况下,`allow_url_fopen` 为 `on`,允许访问文件系统,而 `allow_url_include` 为 `off`,禁止包含外部文件。但在某些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值