file:// — 访问本地文件系统
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流（I/O streams）
zlib:// — 压缩流
data:// — 数据（RFC 2397）
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流

常用php://

1. php://input

   php://input代表可以访问请求的原始数据，简单来说POST请求的情况下，php://input可以获取到post的数据。

   比较特殊的一点，enctype=”multipart/form-data” 的时候 php://input 是无效的。
   
   

2. php://output

   php://output 是一个只写的数据流， 允许你以 print 和 echo 一样的方式 写入到输出缓冲区。
   
   

3. php://filter

   php://filter 是一种元封装器。结合include(),file_get_contents(),file_put_contents()使用，include()经常会造成任意文件读取漏洞，而file_get_contents()和file_put_contents()这样函数下，常常会构成getshell等更严重的漏洞。

   
   

   语法格式

   resource=<要过滤的数据流>   //这个参数是必须的。它指定了你要筛选过滤的数据流。
   read=<读链的筛选列表>       //该参数可选。可以设定一个或多个过滤器名称，以管道符（|）分隔。
   write=<写链的筛选列表>      //该参数可选。可以设定一个或多个过滤器名称，以管道符（|）分隔。
   <；两个链的筛选列表>        //任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。
   
   php://filter/read=convert.base64-encode/resource=flag.php
                or         
                write      过滤器 
   

   
   

   • convert.*\

     convert.base64-encode & convert.base64-decode //base64 加解密

     https://www.php.net/manual/zh/filters.convert.php

   • string.*

     string.rot13

     string.toupper //大写

     string.tolower //小写

     string.strip_tags //返回给定的字符串 str 去除空字符、HTML 和 PHP 标记后的结果
     
     

     p神先用string.strip_tags去除代码，后用convert.base64-decode还原webshell（webshell是base64编码的，所以不会被去除）很好玩。

     php://filter/write=string.strip_tags|convert.base64-encode/resource=shell.php

     p神的文章在后面链接有

     
     

     https://www.php.net/manual/zh/filters.php

     
     
     

4. data://

   data://text/plain;(base64,base64编码后的字符串) 执行php代码

5. phar://

   zip压缩包 phar://test.zip/test.txt 可执行test.txt里的代码

参考连接：

https://zhuanlan.zhihu.com/p/49206578

https://www.leavesongs.com/PENETRATION/php-filter-magic.html

https://lorexxar.cn/2016/09/14/php-wei/

https://www.smi1e.top/文件包含漏洞与php伪协议/