CISP-PTE之PHP伪协议总结

已于 2023-01-20 00:41:05 修改
阅读量719 收藏 4
点赞数
分类专栏: CISP-PTE实操讲解 文章标签: php 安全性测试 web安全 安全
于 2022-07-05 00:17:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/125611225
版权
本文总结了PHP伪协议,包括php://filter、zip://、bzip2://和data://。这些协议常用于文件包含漏洞的利用,如读取文件、源码以及执行命令。例如,通过zip://和data://可以访问压缩包内文件,实现绕过上传限制。了解这些伪协议在CTF比赛和实际安全测试中具有重要意义。
摘要由CSDN通过智能技术生成

PHP伪协议总结

0x00 php://input

//所有测试均allow_url_fopen=On,allow_url_include=On!!!

php://input 是个可以访问请求的原始数据的只读流。 POST 请求的情况下,最好使用 php://input 来代替 $HTTP_RAW_POST_DATA,因为它不依赖于特定的 php.ini 指令。 而且,这样的情况下 $HTTP_RAW_POST_DATA 默认没有填充, 比激活 always_populate_raw_post_data 潜在需要更少的内存。 

了解本专栏 订阅专栏 解锁全文 超级会员免费看
炫彩@之星
关注
专栏目录
订阅专栏
CISP-PTE实操练习题讲解一(新版)
lza20001103的博客
08-05 1万+
CISP-PTE实操练习题讲解一(新版)
CISP-PTE实操练习讲解(二)
lza20001103的博客
07-06 3195
CISP-PTE实操练习讲解(二)
关于php伪协议的一些个人总结
m0_46896375的博客
07-20 544
PHP伪协议0x01 前言0x02 PHP伪协议的概述及种类0x03 部分常用伪协议及其利用方法0x04 结语 0x01 前言 emmm暑假闭关了一个月后感慨良多(我怎么莫名其妙就要大二了???),于是准备好好总结一下自己这段时间的学习内容,做一点简单的笔记,方便自己日后翻阅,同时也希望能够给大家带来一点小小的帮助。 这里总结了部分关于php伪协议的利用方法(为什么只有一部分?那当然是因为剩下的我还没遇到过~) 0x02 PHP伪协议的概述及种类 php伪协议,即是指其支持的协议与封装协议,共有如下12种:
PHP伪协议总结
热门推荐
大方子
09-06 3万+
0x00php://input //所有测试均allow_url_fopen=On,allow_url_include=On!!! php://input是个可以访问请求的原始数据的只读流。POST请求的情况下,最好使用php://input来代替$HTTP_RAW_POST_DATA,因为它不依赖于特定的php.ini指令。而且,这样的情况下$HTTP_RAW_POST...
PHP常用伪协议
L1ni01
09-17 283
一.(file://协议) PHP.ini: file:// 协议在双off的情况下也可以正常使用; allow_url_fopen :off/on allow_url_include:off/on file:// 用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响 file:// [文件的绝对路径和文件名] 例如 http://127.0.0.1/cmd.php?file=file://D:/soft/phpStudy/WW
php伪协议总结
一颗小白菜的博客
11-22 1614
PHP伪协议,也是php支持的协议和封装协议php:// 访问各个输入输出流file:// 访问本地文件系统data:// 获取数据(RFC 2397)zip:// 获取压缩流phar:// PHP归档http:// 访问网址zilb:// 压缩流ftp:// 访问ftpglob:// 查找匹配的文件路径模式ogg:// 音频流expect:// 处理交互式的流主要协议适用场景要求。
php 伪协议
Ni9htMar3的博客
04-09 2万+
php 伪协议 php:// php://filter
php常见伪协议总结
最新发布
m0_57236802的博客
01-18 840
PHP中的伪协议(也称为流包装器)是一种特殊的流访问机制,它允许访问各种类型的资源,如文件、网络资源、压缩文件等。
CISP-PTE真题演示
m0_67391907的博客
07-31 1005
周末帮好兄弟做PTE的真题,觉得确实挺有意思的,于是就有了这篇文章,侵删侵删哈。
cisp-pte考试复盘及常考题型总结
haoaaao的博客
03-03 6584
一、选择题 说基础也不基础,pte的题都是偏实践的那一类,感觉也不算简单,不好好看看还真容易栽这上面,那就太可惜了。比如:DMZ区、php伪协议、谷歌命令、%00截断中对php版本的要求等等类似的。 二、大题 1、sql注入 (1)碎碎念:第一题日常sql注入,就是找闭合费了很久,pte考试中的sql注入似乎会故意让你没法用sqlmap跑,只能手动注入,不过以往的题也有那么几道用sqlmap跑出来的,或者有时候加个--level、--risk也能跑出来,近段时间难度加...
php伪协议
weixin_60719780的博客
01-27 5553
PHP伪协议,也是php支持的协议和封装协议。file:// 访问本地文件系统php:// 访问各个输入/输出流data:// 数据zip:// 压缩流 不过有些伪协议需要allow_url_fopen和allow_url_include的支持。allow_url_fopen On/Off 允许或禁止打开URL文件allow_url_include On/Off 允许或禁止引用URL文件。
PHP-伪协议
摘星怪sec的blog
04-25 5327
常用的伪协议有就可以利用使用文件包含函数包含文件时,文件中的代码会被执行,如果想要读取文件源码,可以使用对文件内容进行编码,编码后的文件内容不会被执行,而是展示在页面中,我们将页面中的内容使用解码,就可以获取文件的源码了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值