공부/ETC

LFI(Local File Inclusion) with PHP wrapper

2021. 3. 11. 14:37
목차
  1. 1. php://filter
  2. 2. expect://
  3. 3. zip://
  4. 공식 문서 : www.php.net/manual/en/wrappers.php
728x90
반응형

1. php://filter

 - I/O 스트림을 사용하는 wrapper

 - 주로 base64를 이용하여 encode/decode 형식으로 파일 내용을 읽어온다.

 - ex)/?page=php://filter/convert.base64-encode/resource=/var/www/uploads/flag

 - base64를 사용하지 못할 경우엔, rot13을 활용하기도 한다.

  - convert.base64-encode -> string.rot13

 

2. expect://

 - system command 실행

 - ex)?page=except://whoami

 

3. zip://

 - 압축 해제 후 해당 압축 파일 안의 파일 실행

 - ex)?page=zip://압축파일명#실행파일명

 

 

공식 문서 : www.php.net/manual/en/wrappers.php

 

PHP: Supported Protocols and Wrappers - Manual

Even though their names will be the same, you can have more than one //memory or //temp stream open concurrently; each time you fopen() such a stream, a NEW stream will be opened independently of the others.This is hinted at by the fact you don't add any u

www.php.net

 

728x90
반응형
저작자표시 비영리 (새창열림)

'공부 > ETC' 카테고리의 다른 글

구글 캘린더를 이용한 RAT - GCR  (0) 2023.11.10
Active Directroy 관련 공격 도구  (0) 2023.08.17
JuciyPotato usage  (0) 2023.08.11
QEMU image convert to vmdk - QEMU 이미지 변환  (0) 2023.07.11
CTI - 다크웹(DarkWeb)  (0) 2021.03.08
  1. 1. php://filter
  2. 2. expect://
  3. 3. zip://
  4. 공식 문서 : www.php.net/manual/en/wrappers.php
'공부/ETC' 카테고리의 다른 글
  • Active Directroy 관련 공격 도구
  • JuciyPotato usage
  • QEMU image convert to vmdk - QEMU 이미지 변환
  • CTI - 다크웹(DarkWeb)
a2sembly
a2sembly
정보보안 블로그!
250x250
반응형
a2sembly
CALL DWORD PTR DS:[a2sembly]
a2sembly
전체
오늘
어제
  • 전체글 (62)
    • MITRE ATT&CK (3)
    • 공부 (47)
      • Reverse Engineering (6)
      • Forensic (9)
      • Network (1)
      • Write-up (17)
      • Programming (5)
      • ETC (6)
      • 정보보안기사 (3)
    • 기타 (4)
    • 스크랩 (7)
    • Threat Intelligence (1)

블로그 메뉴

  • 홈
  • 태그
  • 방명록

공지사항

인기 글

태그

  • 오블완
  • digital forensic
  • 드림핵
  • MITRE
  • 정보보안기사
  • lfi
  • 디지털 포렌식
  • 티스토리챌린지
  • 보안
  • 분석
  • WEB
  • 정보보안
  • 포렌식
  • 침해사고
  • rev-basic
  • dreamhack.io
  • 사고분석
  • Pwnable
  • ATT&CK
  • 정보기
  • 웹해킹
  • 리버스 엔지니어링
  • Dreamhack
  • CTF
  • 해킹
  • python
  • webhacking
  • 리버싱
  • 랜섬웨어
  • hacking

최근 댓글

최근 글

hELLO · Designed By 정상우.
a2sembly
LFI(Local File Inclusion) with PHP wrapper
상단으로

티스토리툴바

개인정보

  • 티스토리 홈
  • 포럼
  • 로그인

단축키

내 블로그

내 블로그 - 관리자 홈 전환
Q
Q
새 글 쓰기
W
W

블로그 게시글

글 수정 (권한 있는 경우)
E
E
댓글 영역으로 이동
C
C

모든 영역

이 페이지의 URL 복사
S
S
맨 위로 이동
T
T
티스토리 홈 이동
H
H
단축키 안내
Shift + /
⇧ + /

* 단축키는 한글/영문 대소문자로 이용 가능하며, 티스토리 기본 도메인에서만 동작합니다.