PHP 伪协议详解

最新推荐文章于 2024-03-22 14:50:16 发布
最新推荐文章于 2024-03-22 14:50:16 发布
阅读量752 收藏 6
点赞数 5
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/muxlong/article/details/136900707
版权

当谈到 PHP 伪协议 时,我们需要深入了解其背后的机制、应用场景以及使用时的注意事项。以下是对 PHP 伪协议的进一步详解:

  1. 机制

    • PHP 伪协议是 PHP 语言内部提供的一种机制,允许开发者使用特殊的协议前缀(如 php://)来访问和操作文件或数据流。
    • 这些伪协议并不是基于网络传输的,而是 PHP 引擎提供的一种抽象接口,用于实现各种文件和数据处理操作。

  2. 应用场景

    • 文件操作
      • 通过伪协议,你可以像操作普通文件一样来读取、写入、复制、删除文件。
      • 例如,file:// 伪协议允许你访问本地文件系统中的文件。
    • 数据处理
      • 伪协议还可以用于处理各种数据流,如内存中的数据、压缩文件等。
      • 例如,php://memoryphp://temp 允许你在内存中处理数据,而 compress.zlib://compress.bzip2:// 则用于处理压缩文件。
    • 安全测试
      • 在渗透测试或安全评估中,攻击者可能会利用某些伪协议来读取或执行远程服务器上的敏感文件或代码。
      • 因此,了解伪协议的工作原理和潜在风险对于安全人员来说至关重要。

  3. 常用伪协议

    • php://input:用于访问请求的原始 POST 数据。这在处理非表单编码的数据(如 JSON、XML 等)时非常有用。
    • php://output:用于将数据写入输出流,通常用于动态生成文件或发送数据到客户端。
    • php://filter:用于对读取的数据应用一系列过滤器。例如,你可以使用此伪协议来读取并转换文件的编码或进行压缩/解压缩操作。
    • file://:用于访问本地文件系统中的文件。通过此伪协议,你可以直接操作本地文件,如读取、写入等。
    • http://https://:用于发送 HTTP 请求并获取远程资源的内容。这可以用于获取远程网页的 HTML 内容或发送 POST 请求等。
    • ftp://:用于访问和操作 FTP 服务器上的文件。通过此伪协议,你可以实现与 FTP 服务器的交互,如上传、下载、删除文件等。

  4. 注意事项

    • 安全性:伪协议的使用需要谨慎,因为某些伪协议可能会暴露敏感信息或引发安全风险。特别是在允许 URL 打开文件(allow_url_fopen)或包含 URL(allow_url_include)的情况下,恶意用户可能会利用伪协议来执行任意代码或读取敏感文件。因此,建议根据实际需求合理配置这些选项。
    • 性能影响:在某些情况下,使用伪协议可能会导致性能下降或资源消耗增加。特别是在处理大文件或高并发请求时,需要仔细评估伪协议的使用对系统性能的影响。
    • 兼容性和可移植性:不同的 PHP 版本和配置可能会对伪协议的支持有所不同。因此,在使用伪协议时,需要
慕容恺
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Web学习·PHP伪协议文件包含(部分)
wengbinqiang17的博客
05-04 724
PHP中支持的伪协议 file:// 访问本地文件系统 http:// 访问 HTTP(s) 网址 ftp:// 访问 FTP(s) URLs php:// 访问各个输入/输出流(I/O streams) zlib:// 压缩流 data:// 数据(RFC 2397) glob:// 查找匹配的文件路径模式 phar:// PHP 归档 ssh2:// Secure She...
PHP伪协议详解
m0_67401228的博客
08-02 1419
phpexit();亦或者phpexit();?这样即使插入了一句话木马,在被使用的时候也无法被执行。这样的死亡exit通常存在于缓存、配置文件等等不允许用户直接访问的文件当中。
php文件包含 伪协议
m0_64361111的博客
02-28 1077
PHP有很多内置 URL风格的封装协议,这类协议与fopen()、 copy()、 file_exists()和filesize()的文件系统函数所提供的功能类似。 zip:// 伪协议 先将要执行的PHP代码写好文件名为test.txt,将test.txt进行zip压缩,压缩文件名为test.zip,如果可以上传zip文件便直接上传,若不能便将test.zip重命名为test.jpg后再上传 在网站根目录创建1.txt,内容为 压缩,压缩后在浏览器访问 php://input ..
php伪协议文件包含
bring_coco的博客
05-14 3347
再说明一下,include()函数对文件后缀名无要求,而对其中的语法有要求,即使后缀名为txt,jpg也会被当做php文件解析,只要文件内是<?如果想要读取运行php文件的源码,可以先base64编码,再传入include函数,这样就不会被认为是php文件,不会执行,会输出文件的base64编码,再解码即可。命令:file://E:/phpStudy/PHPTutorial/WWW/DVWA-master/vulnerabilities/fi/2.txt。若采用rot13编码,对php文件中的<?
PHP伪协议-文件包含漏洞常用的伪协议
热门推荐
wangyuxiang946的博客
08-19 1万+
在实战中文件包含漏洞配合PHP伪协议可以发挥重大的作用,比如读取文件源码,任意命令执行或者开启后门获取webshell等,常用的伪协议php://filter 读取文件源码 php://input 任意代码执行 data://text/plain 任意代码执行 zip:// 配合文件上传开启后门 下面拿ctf.show WEB模块的第3关举个栗子,这一关存在文件包含漏洞 php://filter php://filter 协议可以对打开的数据流进行筛选和过滤,常用于读取文件..
php伪协议c,文件包含之:php伪协议
weixin_34649372的博客
03-27 226
file://协议条件:allow_url_fopen:off/onallow_url_include:off/on作用:用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响。include()/require()/include_once()/require_once()参数可控的情况下,如导入为非.php文件,...
php伪协议.pdfphp伪协议.pdfphp伪协议.pdf
02-24
### PHP 伪协议详解 #### 一、概览 PHP 伪协议是一种特殊的 URL 格式,用于在 PHP 代码中执行特定的操作。这些伪协议主要用于处理文件读取、网络请求以及数据处理等方面。理解并恰当地使用 PHP 伪协议对于开发安全...
php伪协议概述.pdf
02-24
### PHP伪协议详解 #### 一、概述 PHP伪协议是一种独特的URL协议,主要用于在PHP环境中执行文件操作。与传统的文件路径访问不同,伪协议允许开发者通过构建特定格式的URL来实现对文件的读取、写入等操作,极大地...
PHP伪协议精讲(文件包含漏洞)
2301_76251460的博客
07-21 831
PHP伪协议
文件包含PHP伪协议学习笔记
最新发布
2302_80935968的博客
03-22 1055
1.当allow_url_fopen=Off和allow_url_include=Off或allow_url_fopen=Off和allow_url_include=On时,文件包含失败。data:// 同样类似与php://input,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行。2.当allow_url_fopen=On和allow_url_include=On时,include等其他包含函数才会将URL代表的文件包含执行,文件包含成功。
文件包含漏洞+php伪协议
unexpectedthing的博客
11-11 6720
文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url指定前缀截断目录遍历编码参考文献 常见的文件包含函数 php文件包含函数有下面四
php伪协议总结
h0ld1rs的博客
08-12 2814
文章目录file:// 协议条件:作用:说明用法php:// 协议条件作用:例子zip:// & bzip2:// & zlib:// 协议条件作用用法data:// 协议条件作用用法示例phar:// 协议用法 file:// 协议 条件: allow_url_fopen:off/on allow_url_include :off/on 作用: 用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响。 inclu
四、文件包含漏洞[伪协议、读取文件、命令执行]
黑日里不灭的light
10-30 652
php://input:一般配合post输入,它提供了一种直接获取 POST 请求数据的方式,尤其适用于处理来自客户端的原始数据。php://filter:用于对流进行各种过滤或转换操作,允许你在读取或写入流数据之前对其进行处理。file://:用来访问本地文件。
文件包含&php伪协议
Xiiaogu的博客
12-14 659
将文件进行base64编码再读出,即在file=后,flag前加上php://filter/read=convert.base64-encode/resource=file=php://input,下方输入<?没有flag,再输入<?添加完数据后打开终端,查找目录下文件,输入ls,没有flag。返回查找根目录,输入ls /,里边有flag文件。
WEB入门——文件包含漏洞与PHP伪协议
HasntStartIsOver的博客
06-04 916
在程序员开发过程中,通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需在此编写,这种调用文件的过程一般被称为文件包含。随着网站业务的需求,程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校检或者校检被绕过就造成了文件包含漏洞。
050-WEB攻防-PHP应用&文件包含&LFI&RFI&伪协议编码算法&无文件利用&黑白盒
wushangyu32335的博客
03-08 961
小迪安全2023笔记
php伪协议,文件包含[ZJCTF 2019]NiZhuanSiWei1
m0_74416116的博客
11-20 68
/那个psphp//调用反序列化,就会激发__tostring函数,这个文件已经被包含了php//调用反序列化,就会激发__tostring函数,这个文件已经被包含了//echo一个类的时候会激发这个类的__tostring方法,也算是自定义的一种序列化?tageturl/?
渗透测试-文件包含漏洞以及php伪协议的应用
lza20001103的博客
07-20 3307
渗透测试-文件包含漏洞以及php伪协议的应用
PHP伪协议详解:访问数据源与执行操作
"PHP伪协议PHP中一种特殊的数据访问机制,它允许开发者通过php://前缀结合特定的协议标识符来实现对不同数据源的访问。这些协议并不实际连接到网络,而是提供了对PHP自身功能的接口。下面将详细讨论PHP伪协议的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

慕容恺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值