学习PHP的一些伪协议(更新中)

最新推荐文章于 2024-05-02 05:36:20 发布
最新推荐文章于 2024-05-02 05:36:20 发布
阅读量178 收藏
点赞数
分类专栏: web前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28429161/article/details/107520038
版权
本文深入探讨了PHP中支持的伪协议及其在文件操作中的应用,包括file、http、ftp、php、zlib、data、glob、phar、ssh2、rar、ogg、expect等协议的使用方法,并提供了具体的代码示例。
摘要由CSDN通过智能技术生成

给看一下环境代码:
在这里插入图片描述
很简单的一个文件包含,看一下PHP中支持的伪协议的函数:
include、require、include_once、require_once、highlight_file,show_source 、readfile 、file_get_contents 、fopen 、file……可以看出这函数在写的时候都可以通过输入相关的一些路径执行操作,我们常见的伪协议有:

file://		访问本地文件系统
http://		访问 HTTP(s) 网址
ftp://		访问 FTP(s) URLs
php://		访问各个输入/输出流(I/O streams)
zlib://		压缩流
data://		数据(RFC 2397)
glob://		查找匹配的文件路径模式
phar://		PHP 归档
ssh2://		Secure Shell 2
rar://		RAR
ogg://		音频流
expect://	处理交互式的流

协议利用:

1.php://filter

php://filter用于读取源码,php://input用于执行php代码

?var=php://filter/read=convert.base64-encode/resource=index.php

在这里插入图片描述

此方法通过php://filter可以读取系统任意文件并显示为base64,通过相应的解码工具即可获取正常的内容:
在这里插入图片描述

2.file:// — 访问本地文件系统

此协议可以直接将文件文本打印在屏幕上
利用:

?var=file:///var/www/html/flag

在这里插入图片描述
我试了一下无法直接获取当当前文件路径,位置需要从根目录开始写。

安全狮
关注
专栏目录
【网络安全 | CTF】攻防世界 Web_php_include【php伪协议|data伪协议|file伪协议
等风来
05-22 1万+
PHP 语言一个重要的文件包含机制,可以将一个 PHP 文件包含到另一个 PHP 脚本文件。该机制通常用于代码复用和模块化开发,在不同的 PHP 文件之间实现函数和类等代码的共享。file 伪协议用于访问本地文件系统的文件,可以在 web 页面链接到本地文件,或者读取本地文件的数据。PHP 伪协议是一种特殊的 URI 协议,可以绕过通常的协议限制,直接访问本地文件和执行 PHP 代码。函数,该函数返回当前工作目录的绝对路径。函数,该函数返回当前执行的 PHP 脚本所在位置的绝对路径。
PHP伪协议
weixin_49472648的博客
08-30 1358
file:// 用于访问本地文件系统,在CTF通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响作用:是php独有的一种协议,它是一种过滤器,可以作为一个间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。读取源代码并进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了。语法:php://filter/过滤器|过滤器.........
php伪协议
sleepywin的博客
03-27 130
php伪协议
web安全——伪协议
永远相信美好的事情即将发生
02-06 1万+
伪协议常常用于文件包含漏洞之。在php能够造成文件包含的函数有include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile 函数 1.include函数 可以放在PHP脚本的任意位置,一般放在流程控制的处理部分。当PHP脚本执行到include指定引入的文件时,才将它包含并尝试执行。这种方式可以把程序执行时的流程进行简单化。当第二次遇到相同文件时,PH
2021-03-17-伪协议
qq_50963064的博客
11-15 1988
伪协议学习 慢慢积累,从平时学习伪协议常常出现在文件包含漏洞。 在PHP能够照成文件包含的函数有include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile。 函数: include(): ​ 可以放在PHP脚本的任意位置,一般放在流程控制的处理部分。当PHP脚本执行到include指定引入的文件时,才将它包含并尝试执行。这种方式可以把程序执行时
什么是php伪协议,并举例说明
02-25
学习PHP伪协议时,需要注意以下几点: 1. 伪协议的安全性:确保在使用自定义伪协议时,正确处理潜在的安全风险,如输入验证和权限控制。 2. 性能优化:虽然伪协议提供了便利,但过度使用可能会影响程序性能,尤其...
PHP伪协议学习总结
不想当脚本小子的脚本小子
12-01 555
今天工作遇到了一个利于curl来伪装POST传参的方法(这里给大家一个思路,当你觉得利用get传参行不通的时候,不妨试试post传参),其用到了php伪协议,我对这一块不太了解,只是在学习文件包含漏洞的时候用到了file://这种本地文件包含,在这里我打算系统的学习并且总结一下,也方便了自己日后复习。 首先,php伪协议有以下几种(我觉得很多东西是要记在脑子里的): file:// — 访问本地文件系统 http:// — 访问 HTTP(s) 网址 ftp:// — 访问 FTP(s...
Web安全之PHP伪协议漏洞利用,以及伪协议漏洞防护方法_php伪协议是漏洞吗(2)
最新发布
2401_84297193的博客
05-02 36
通过在url后面添加了伪协议读取方式,我们就将它的源码以base64的编码格式读取出来了,通过这个例子,我们通过php://filter伪协议将服务器的flag.php文件源码读取出来了,说明这个伪协议可能造成源码或者服务器敏感信息泄露。PHP这门语言,凭借其上手快,轻量级,以往在建站的时候被广泛使用,现实使用较少了,虽然使用少了但我们还是要对其存在的漏洞有所了解,掌握其原理,以及了解其漏洞的基本利用方法。题目给了提示,文件包含,所以这个p盲猜是include内的参数,所以直接输入flag试试。
PHP伪协议详解
m0_67401228的博客
08-02 1450
phpexit();亦或者phpexit();?这样即使插入了一句话木马,在被使用的时候也无法被执行。这样的死亡exit通常存在于缓存、配置文件等等不允许用户直接访问的文件当
PHP 伪协议
m0_56107268的博客
11-08 5795
php伪协议
php 伪协议
热门推荐
Ni9htMar3的博客
04-09 2万+
php 伪协议 php:// php://filter
[php知识点]PHP伪协议
Landasika的博客
05-17 8886
目录 一、前言1、什么是PHP伪协议2、什么时候用PHP伪协议include和require函数include和include_once的区别(require与require_once的区别)highlight_file()和show_source()readfile和file_get_contents和filefile_put_contentsfopen二、PHP伪协议file://...
php伪协议 freebuf,聊聊安全测试如何快速搞定Webshell
weixin_39624606的博客
04-04 179
原标题:聊聊安全测试如何快速搞定Webshell*严正声明:本文仅用于教育和讨论目的,严谨用于非法用途。*本文作者:DYBOY,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。WEB安全漏洞,与文件操作相关的漏洞类型就不少,在大部分的渗透测试过程,上传文件(大、小马)是必不可少的一个流程,然而各种各样的防火墙拦截了文件上传,遂整理文件操作相关漏洞的各种姿势,如有不妥之处,还望各位斧正...
ctf题目php文件上传如何绕过_CTF---Web入门第二题 上传绕过
weixin_39679678的博客
01-14 664
bypass the upload格式:flag{}【解题报告】这是我入门Web开始写的第二道题,这道题有点意思,它的题目意思是要上传一个文件,具体要上传什么文件题目也没说,我们就随意上传一个txt文本文档,点submit,题目会显示"不被允许的文件类型,仅支持上传jpg,gif,png后缀的文件"的字样,这时我们就新建一个1.jpg文件,然后点击submit上传,然后会有以下提示信息:,这不是在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值