浅谈php://filter

最新推荐文章于 2023-06-12 06:41:17 发布
最新推荐文章于 2023-06-12 06:41:17 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: CTF 文章标签: CTF web php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38161055/article/details/83997993
版权

php://    访问各个输入/输出流

 

php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents()

 

php://filter 目标使用以下的参数作为它路径的一部分。 复合过滤链能够在一个路径上指定。

php://filter 参数
名称描述
resource=<要过滤的数据流>这个参数是必须的。它指定了你要筛选过滤的数据流。
read=<读链的筛选列表>该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
write=<写链的筛选列表>该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
<;两个链的筛选列表>任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。

php://filter/resource=<待过滤的数据流>(就是文件的路径)

php://filter/read=<读链需要应用的过滤器列表>(就是具体的操作)

 

例子

 /* 会以大写字母并且rot13加密的形式输出 www.example.com 的全部内容 */

readfile("php://filter/read=string.toupper|string.rot13/resource=http://www.example.com");

打开将x.php的源码以base64的形式输出

php://filter/read=convert.base64-encode/resource=./x.php

 

编不下去,我自己也没有弄懂啊!以后理解清楚在从新写过,现在当备份吧!

其实就是再做CTF的web练习题是遇到的

http://123.206.87.240:8005/post/index.php

 

-Q-
关注
专栏目录
PHP 过滤
wjs2024的博客
08-21 485
PHP 过滤PHP 语言内置的一组功能,用于处理和验证数据。它们可以检查数据是否满足特定的条件,如是否为有效的电子邮件地址、数字、字符串等,并对数据进行清理,以防止 SQL 注入、跨站脚本攻击(XSS)等安全风险。PHP 过滤通常与输入数据绑定使用,确保数据在进入用程序之前是安全可靠的。PHP 过滤是确保用程序数据安全和准确性的重要工具。通过使用过滤函数和过滤,开发人员可以轻松地验证和清理数据,防止各种安全风险。
浅谈php://filter的妙用
01-02
php://filterPHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也就只好提前分享一下。 XXE中的使用 php://filter之前最常出镜的地方是XXE。由于XXE漏洞的特殊性,我们在取HTML、PHP等文件时可能会抛出此类错误parser error : StartTag: invalid element name 。其原因是,PHP是基于标签的脚本语言,<?php … ?>这个语法也与XML相符合,所以在解析XML的时候会被误认为
PHP 过滤Filter
测试0901-1
04-13 167
简介PHP 过滤用于验证和过滤来自非安全来源的数据。验证和过滤用户输入或自定义数据是任何 Web 用程序的重要组成部分。设计 PHP 的过滤扩展的目的是使数据过滤更轻松快捷。 由于大部分Web用程序都依赖于外部数据的输入,这些数据的来源包括: 来自表单的输入数据 Cookies 服务变量 数据库查询结果 ...
php://filter
2202_75317918的博客
04-12 3495
php://filter
PHP Filter 函数
unber的博客
09-03 279
PHP 过滤用于对来自非安全来源的数据(比如用户输入)进行验证和过滤。
phpfilter的妙用
weixin_44576725的博客
04-14 4768
php://filter的妙用 php://filterPHP中独有的协议,利用这个协议可以创造很多“妙用”。 php://filter php://filter 是一种元封装, 设计用于数据流打开时的筛选过滤用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、file()和 file_get_contents(), 在数据流内容取之前没有机会用其他过滤php://filter 目标使用以下的参数为它路径的一部分。 复合过滤能够在一个路径上指定。
php://filter/
小龙在线
09-07 759
php://filterphp中独有的一个协议,可以为一个中间流来处理其他流,可以进行任意文件的取;根据名字filter可以很容易想到这个协议可以用来过滤一些东西。
浅谈php安全性需要注意的几点事项
10-25
1. 输入验证:对用户提交的所有数据进行验证,确保其符合预期的格式,例如,使用`filter_var`函数检查电子邮件地址的格式,或使用正则表达式验证手机号码。 2. 避免使用`eval`函数:`eval`会将字符串当PHP代码...
浅谈PHP 闭包特性在实际用中的问题
10-29
如果要封装ArrayObject类以使用闭包,可以创建一个自定义的类来扩展ArrayObject,然后在这个类中实现map和filter等方法。这样,就可以利用闭包进行复杂的数组操,同时保持代码的优雅和可性。这种封装可以让PHP...
浅谈Eclipse PDT调试PHP程序
12-18
【Eclipse PDT调试PHP程序详解】 在PHP开发中,Eclipse PDT(PHP Development Tools)是一个强大的集成开发环境,它提供了代码编辑、调试、版本控制等多种功能。本文将深入讲解如何在Eclipse中设置和使用PDT进行PHP...
谈一谈php://filter的妙用
beyond__devil的博客
10-19 1万+
原文地址: https://www.leavesongs.com/PENETRATION/php-filter-magic.html 这个可能是一个大牛,大家可以看看博客去,我没看过。。。 php://filterPHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,
php://filter技术分享
Pz_mstr's Blog
10-13 4440
0x00 前言php://filterPHP中的一个协议,利用这个协议我们可以解决一些ctf的题目,或者挖掘出一些漏洞。0x01 php://filterphp://filter可以为一个中间流来处理其他流,具有四个参数: 名称 描述 备注 resource=<要过滤的数据流> 指定了你要筛选过滤的数据流。 必选 read=<筛选列表> 可以设定一个或多个过滤
PHP伪协议filter详解,php://filter协议过滤
最新发布
wangyuxiang946的博客
06-12 1万+
PHP://filter协议 PHP filter 过滤
PHP】强大的filter_var
Arthur Guo 的专栏
09-13 5443
猫哥代码时候经常会遇到各种需要判断的: 判断是否数字;判断是否字符串;判断是否合法email;判断是否IPv4地址;...... 从前总会傻傻地各种正则表达式,虽然正则水平有所提高,但是效率低吖~ 直到有一天猫哥发现了
使用 PHPFilter 函数(过滤)高效、安全地获取请求参数
Galaxy_0的博客
02-13 646
使用 PHPFilter 函数(过滤)高效、安全地获取请求参数
phpfilter,PHPfilter协议详解
weixin_33016287的博客
03-12 677
本文主要和大家分享PHPfilter协议详解,希望能帮助到大家。php:// — 访问各个输入/输出流(I/O streams)php://input 是个可以访问请求的原始数据的只流。php://filter 是一种设计用来允许过滤程序在打开时成为流的封装协议。这对于单独具有完整功能的文件函数非常有用,否则就没有机会在取内容之前将过滤用于流之上。该协议语法为:php://filter...
小程序的学习资料收集
weixin_30414245的博客
02-23 3132
收集学习资料 1:官方工具:https://mp.weixin.qq.com/debug/w ... tml?t=1476434678461 2:简易教程:https://mp.weixin.qq.com/debug/wxadoc/dev/?t=1476434677599 3:设计指南:https://mp.weixin.qq.com/debug/wxadoc/desig...
php:filter:// 的学习
sworddancing is the best one
07-19 330
今天我做到了一道关于index.phpctf题,里面有一个解题关键就是php:filter://的使用,因此我就百度了一下它的用法:  php:filter://是php中的一个协议,利用这个协议我们可以解决一些ctf的题目,或者挖掘出一些漏洞 php://filter可以为一个中间流来处理其他流,具有四个参数: 名称 描述 备注 resource=&lt;要过滤的数据流...
php://filter 的使用
热门推荐
hhh
09-03 3万+
今天做bugku的基础题遇见的……很神奇,真心涨姿势(好吧其实我现在每做一道题都是涨知识) 题目:flag在index里 接:呼哈哈 题解: 可以看到题目打开的界面里 注意这里:?file=show.php;可以联想到文件包含漏洞,然后我们就可以用php://filter协议来查看源文件内容; 构造:php://filter/read=convert.base64-encode/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值