看源码,可能是不想让我们使用php://input伪协议
因为strstr函数匹配php://,str_replace函数将php://替换为空
但是strstr区分大小写,因此我们可以使用大小写绕过
这里我们看看strstr()函数的实例:
php://input 是个可以访问请求的原始数据的只读流。
用bp抓包:
在这里插入图片描述
2020.3.28 xctf进阶()①
猜你喜欢
转载自blog.csdn.net/DSR446/article/details/105166395
今日推荐
周排行