php伪协议相关知识

于 2021-03-26 09:29:29 发布
阅读量137 收藏
点赞数
分类专栏: 软件编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33505576/article/details/115226757
版权

一、背景介绍
本文结合文件包含漏洞来介绍php伪协议的使用,涉及的相关协议:file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、data://

二、相关参数
allow_url_fopen off/on 默认开启
allow_url_include off/on 默认关闭

三、伪协议的使用

1)用于访问本地文件系统
双off可使用

http://192.168.88.128/111.php?file=file://c:wamp/www/phpcode.txt

截图如下:
在这里插入图片描述
2)读取源代码并进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了。
双off可使用

http://192.168.88.128/111.php?file=php://filter/read=convert.base64-encode/resource=111.php

截图如下:
在这里插入图片描述
3)可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行
allow_url_fopen off
allow_url_include on
后可使用php://input

4)以访问压缩文件中的子文件,更重要的是不需要指定后缀名。
双off的情况下可使用

http://192.168.88.128/111.php?file=zip://c:/wamp/www/file.jpg%23phpcode.txt

截图如下:在这里插入图片描述
5)—>
双off的情况下可使用
compress.bzip2://file.bz2

6)双off的情况下可使用
compress.zlib://file.gz

7)双on的情况下可使用

http://192.168.88.128/111.php?file=data:/text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

截图如下:

在这里插入图片描述

复古追月
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP伪协议相关 -.pdf
02-24
php伪协议
文件包含漏洞及PHP伪协议
buffedon的博客
06-03 1094
文件包含漏洞及PHP伪协议文件包含漏洞1. 原理攻击利用的原理攻击成功的条件2. 分类本地文件包含LFI的利用远程文件包含3. 文件上传漏洞防范禁止0字节在PHP中配置open_basedir尽量避免动态包含的变量allow_url_include置为off4. PHP伪协议file://http://ftp://php://php://stdin, php://stdout 和 php://stderrphp://inputphp://outputphp://fdphp://memory 和 php://
php 伪协议
热门推荐
Ni9htMar3的博客
04-09 2万+
php 伪协议 php:// php://filter
CTF中遇见的PHP伪协议运用
byxs007的博客
12-15 1万+
关于PHP伪协议中的总结网上已经有很多文章了 LoRexxar的PHP伪协议总结 PHP伪协议 官方文档 以下都是在做CTF题目的时候遇见的一些知识点,每遇到一点就会在这面做一些总结 php://input php://input 是个可以访问请求的原始数据的只读流。因为它不依赖于特定的 php.ini 指令。 注:enctype=”multipart/form-d
php伪协议及其它网络安全相关知识
五分之一世纪
01-17 496
php伪协议,及其它网络安全相关知识 <1>php伪协议 1.对更改php.ini文件中‘allow_url_fopen‘和’allow_url_include’的理解 ini是(initial’初始化‘)的缩写,ini文件用来对操作系统或特定程序初始化或进行参数设置,也就是说php.ini是PHP的一个配置文件。 php.ini中有’allow_url_fopen‘和’allow_url_include’。前者的意思是说是否将URL作为文件处理,后者的意思是是否允许include/requi
57-57.渗透测试-PHP相关函数和伪协议.mp4
05-10
57-57.渗透测试-PHP相关函数和伪协议.mp4
php伪协议概述.pdf
02-24
PHP伪协议是一种特殊的URL协议,用于在PHP中进行文件操作。它允许在URL中指定文件路径,并通过内置的PHP函数来访问和操作文件内容。
PHP 伪协议大总结.docx
02-24
PHP 伪协议大总结.docx
php伪协议.zipphp伪协议.zip
02-24
php伪协议php伪协议.zipphp伪协议.zip
keil5安装程序(包含keygen)
05-21
keil5安装程序(包含keygen)适用于单片机学习
grpcio-1.14.1-cp37-cp37m-manylinux1_i686.whl
最新发布
05-21
Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
grpcio-1.14.0-cp36-cp36m-linux_armv7l.whl
05-21
Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
CoreNLP一套Java核心自然语言处理工具,用于标记化、句子分词、NER分析、相互引用、情感分析等.zip
05-21
CoreNLP一套Java核心自然语言处理工具,用于标记化、句子分词、NER分析、相互引用、情感分析等
java+springboot图片处理Utils类文件
05-21
包含方法: 1、从图片的MultipartFile获取InputStream。 2、转换图片格式为jpg,保持原尺寸不变,并获取新的InputStream。 3、压缩图片文件大小,图片尺寸不变。 4、按照指定比例进行缩小和放大。 5、裁剪图片。 6、给某张图片绘制标记框,并输出至指定位置。 7、MultipartFile 转 File。
vscode-1.52.0.tar源码文件
05-21
vscode-1.52.0.tar源码文件vscode-1.52.0.tar源码文件 vscode-1.52.0.tar源码文件vscode-1.52.0.tar源码文件 vscode-1.52.0.tar源码文件vscode-1.52.0.tar源码文件 vscode-1.52.0.tar源码文件vscode-1.52.0.tar源码文件 vscode-1.52.0.tar源码文件vscode-1.52.0.tar源码文件 vscode-1.52.0.tar源码文件vscode-1.52.0.tar源码文件 vscode-1.52.0.tar源码文件vscode-1.52.0.tar源码文件 vscode-1.52.0.tar源码文件vscode-1.52.0.tar源码文件 vscode-1.52.0.tar源码文件vscode-1.52.0.tar源码文件 vscode-1.52.0.tar源码文件vscode-1.52.0.tar源码文件 vscode-1.52.0.tar源码文件vscode-1.52.0.tar源码文件
node-v10.14.1-headers.tar.xz
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
半监督模糊聚类matlab代码.zip
05-21
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
grpcio-1.11.1-cp36-cp36m-manylinux1_x86_64.whl
05-21
Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
什么是pycharm安装教程以及学习pycharm安装教程的目的
05-21
pycharm安装教程
php伪协议常用代码
08-05
常用的PHP伪协议代码包括: 1. 使用php://input执行PHP代码:这种方法可以通过将PHP代码作为POST数据传递,然后使用php://input伪协议来执行代码。例如,可以使用以下代码来执行phpinfo()函数并将结果输出到页面上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值