Fly_鹏程万里

最近php伪协议的各种神奇妙用好像突然又常常提到了，php中支持的伪协议有下面这么多file:// — 访问本地文件系统http:// — 访问 HTTP(s) 网址ftp:// — 访问 FTP(s) URLsphp:// — 访问各个输入/输出流（I/O streams）zlib:// — 压缩流data:// — 数据（RFC 2397）glob:// — 查找匹配的文件路...

1 概述Gopher 协议是 HTTP 协议出现之前，在 Internet 上常见且常用的一个协议。当然现在 Gopher 协议已经慢慢淡出历史。Gopher 协议可以做很多事情，特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache，也可以进行 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。2 攻击面测...

本文希望分享一些本地文件包含、远程文件包含、PHP的封装协议(伪协议)中可能包含的漏洞目录1. 文件包含的基本概念2. LFI(Local File Include)3. RFI(Remote File Include)4. PHP中的封装协议(伪协议)、PHP的流式文件操作模式所带来的问题1. 文件包含的基本概念严格来说，文件包含漏洞是"代码注入"的一种。"代码注入"...