临渊羡鱼

退而结网

0%

Posted on In ,

LFI(Local File Inclusion)是一个常见的文件包含漏洞,攻击者通过利用此漏洞,可以执行恶意代码。常见的LFI攻击方式包括上传恶意PHP文件并通过LFI包含执行、使用PHP提供的php://协议(如php://input、php://filter等)绕过限制、包含日志文件、读取系统环境变量(如proc/self/environ)、或通过会话文件注入代码。此外,LFI还可以通过临时文件实现远程代码执行(RCE),攻击者可以利用PHPinfo()函数查看上传的临时文件路径,并通过LFI漏洞包含该文件,从而执行恶意代码。

Read more »

Posted on In ,

什么是php wrapper?

PHP wrapper基于流(stream)的概念,流是数据传输的抽象表示。wrapper定义了如何处理特定协议或资源(如文件、HTTP请求、内存流)的输入输出操作。每个wrapper通过PHP的流函数(如 fopen()file_get_contents)与底层资源交互,提供统一的借口来操作不同类型的数据源。wrapper除了内置于PHP之外,也可以通过 stream_wrapper_register()自定义。

如以下php代码

1
2
3
4
5
6
<?php
$handle = fopen("file://some.txt","rb");
while(feof($handle)!==true) {
echofgets($handle);
}
?>
Read more »