web伪协议的学习

最新推荐文章于 2024-05-18 13:54:01 发布
最新推荐文章于 2024-05-18 13:54:01 发布
阅读量505 收藏 3
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69676459/article/details/124653326
版权


file:// 访问本地文件系统
http:// 访问 HTTPs 网址
ftp:// 访问 ftp URL
zlib:// 压缩流
data:// 数据
glob:// 查找匹配的文件路径

今日结合ISCC2022的web题学习

我们首先要抓住关键字,我们做题就是为了flag,所以我刚进来就关注最后几行代码。他说当$step1和$step2都为真时,便会打印出flag。

所以我们接着往上看,找到有关$step1和$step2的部分。

当["year"]=2022时,$step1 = ture

再往下看:

这段代码的意思是:先定义了一个数组叫items,而且规定了数组中的元素个数为3,还要求数组中要有一个键对应的值为skiing。

正确解读后传入参数便得到以下语句:

语句的最后中包含了flag,赶紧把flag上交=。=

php://input的作用:执行POST数据中的php代码

data://  +  协议

eg. data://text/plain     

data://text/plain;base64

http://127.0.0.1/1.php?file=data://text/plain;base64,572R5a6J5peg5pWM

今天就浅学到此。

今日跟着本人学习群里的大佬学习,收益良多。

 

肉团团爱吃脆脆鲨
关注
WEB入门——文件包含漏洞与PHP伪协议
HasntStartIsOver的博客
06-04 925
在程序员开发过程中,通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需在此编写,这种调用文件的过程一般被称为文件包含。随着网站业务的需求,程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校检或者校检被绕过就造成了文件包含漏洞。
Web安全之PHP的伪协议漏洞利用,以及伪协议漏洞防护方法_php伪协议是漏洞吗
m0_60732644的博客
04-08 609
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
web安全——伪协议
热门推荐
永远相信美好的事情即将发生
02-06 1万+
伪协议常常用于文件包含漏洞之中。在php中能够造成文件包含的函数有include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile 函数 1.include函数 可以放在PHP脚本的任意位置,一般放在流程控制的处理部分中。当PHP脚本执行到include指定引入的文件时,才将它包含并尝试执行。这种方式可以把程序执行时的流程进行简单化。当第二次遇到相同文件时,PH
web伪协议总结
dust_hk的博客
04-20 2038
本文参考公众号 QLU Security 原文链接:click me 一、漏洞依附 allow_url_fopen()打开文件->通常设置为On,使得可以访问 URL 对象文件等。 allow_url_include()引用文件->通常设置为off,包含URL 对象文件等 均可在配置文件,php.ini中查看(通常位置:/usr/local/php/lib) 二、常见协议 ...
web渗透测试离不开的伪协议
最新发布
qq_62793621的博客
05-18 728
不同的开发语言支持的伪协议不同,在这里为主要讲一下常用的file、ftp、http、dict、gpoher以及部分PHP常用的伪协议在具体讲解伪协议之前,先讲一讲文件包含漏洞与SSRF的基本原理。
Web安全之PHP的伪协议漏洞利用,以及伪协议漏洞防护方法
Scalzdp的专栏
11-13 2290
单纯看伪协议利用与之前的文件包含漏洞及其相似,但是在真实环境中是对用户输入进行了过滤替换的,在使用漏洞就需要不断考虑如何绕过这些过滤条件。只要我们开发过程中对于使用了伪协议这些函数的时候,一定要严格对用户参数进行过滤,避免一时偷懒导致服务器被黑,其实最终难逃其就。如有还不太理解或有其他想法的小伙伴们都可以私信我或评论区打出来哟,如有写的不好的地方也请大家多多包涵。
第八节 Javascript伪协议的XSS-01
09-15
Web安全 训练营课程中,我们可以学习到更多关于XSS漏洞的知识,包括javascript伪协议、XSS漏洞发现、a链接标签属性href介绍、Payload触发XSS漏洞等内容。同时,我们也可以学习到更多关于Web安全的知识,包括SQL...
web学习参考手册.rar
11-15
Web学习参考手册》是一个非常实用的资源,尤其适合初学者和有一定经验的开发者作为查阅和巩固知识的工具。这个压缩包中包含了一个名为“web学习参考手册.chm”的文件,这是一种专门用来组织和展示帮助信息的...
Web学习·PHP伪协议和文件包含(部分)
wengbinqiang17的博客
05-04 724
PHP中支持的伪协议 file:// 访问本地文件系统 http:// 访问 HTTP(s) 网址 ftp:// 访问 FTP(s) URLs php:// 访问各个输入/输出流(I/O streams) zlib:// 压缩流 data:// 数据(RFC 2397) glob:// 查找匹配的文件路径模式 phar:// PHP 归档 ssh2:// Secure She...
关于Python、php伪协议等的100道题
02-24
本文将深入探讨Python和PHP的相关知识点,特别是关于PHP伪协议的运用。 首先,让我们关注Python。Python以其简洁的语法、强大的标准库和丰富的第三方模块而闻名。它被广泛用于数据分析、机器学习、网络编程以及自动...
伪协议学习及习题(随更)
m0_66594701的博客
07-20 222
一起学习伪协议
CTF-web 第八部分 常见加密与文件包含 伪协议
iamsongyu的博客
11-05 2152
(1)加密解密等 我们在做题的时候,经常会遇到一些奇怪的加密解密的字符串,这就需要我们能够识别一些比较常用的。        1.base64         这是一个常用的编码,而且原理也十分简单,非常容易得到原内容。 三字节变为四字节 前面补两个0。  所谓Base64,就是说选出64个字符----小写字母a-z、大写字母A-Z、数字0-9、符号"+"、"/"(再加上作为垫字的"=",实...
WEB攻防-通用漏洞&文件包含&LFI&RFI&伪协议编码算法&代码审计
m0_65336233的博客
10-17 1361
WEB攻防-通用漏洞&文件包含&LFI&RFI&伪协议编码算法&代码审计
2022ISCC-web-wp
Christ1na的博客
07-07 2599
2022ISCC-web-wp
ISCC2022--Writeup
m0_61596829的博客
06-03 6935
ISCC2022--writeup
javascript:是一个伪协议
xiaoguan_liu的博客
09-25 1226
javascript: 是一个伪协议,其他的伪协议还有 mail:  tel:  file:  等等。 <a id="jsPswEdit" class="set-item" href="javascript:;">修改密码</a> javascript:是表示在触发<a>默认动作时,执行一段JavaScript代码,而 javascript:; 表示什么都不..
文件包含支持的伪协议
qq_50673174的博客
05-15 8307
文件包含漏洞的补充。 主要是文件包含漏洞支持的伪协议
javascript伪协议
htmld的专栏
06-11 1020
伪协议不同于因特网上所真实存在的如http://,https://,ftp://,而是为关联应用程序而使用的.如:tencent://(关联QQ),data:(用base64编码来在浏览器端输出二进制文件),还有就是javascript: 我们可以在浏览地址栏里输入"javascript:alert('JS!');",点转到后会发现,实际上是把javascript:后面的代码当JavaScrip
httpc伪n伪ry
11-02
HTTPc是一个伪代码示例,而伪N是一个伪命令或伪指令。在计算机科学领域中,伪代码是一种接近自然语言的编码方法,用于描述算法或程序的逻辑结构,它并不是一种真正的编程语言。 HTTPc可能是指一个模拟HTTP协议的客户端程序。HTTP(Hypertext Transfer Protocol)是一种用于在网络上传输超文本的应用层协议。它是Web浏览器和Web服务器之间进行通信的基础。 伪N可能是指一个模拟操作系统的伪命令或伪指令。在计算机操作系统中,指令是用于执行特定任务的基本操作。伪指令是一系列模拟真实指令的命令,用于向程序员提供简化操作、方便调试和测试的功能。 因此,如果httpc伪N伪Ry是指模拟HTTP客户端程序以及模拟操作系统的伪命令,那么它可能是为了演示或测试某些功能而创建的虚拟环境。这种伪代码示例和伪指令通常用于教学、调试或软件开发过程中,以便更好地理解和学习相关的概念和操作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值