文件包含漏洞与php伪协议

最新推荐文章于 2024-05-14 21:12:14 发布
最新推荐文章于 2024-05-14 21:12:14 发布
阅读量778 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46485934/article/details/108804941
版权

一.前情提要

本人在写buuctf的时候,碰到一道文件包含与php伪协议的题目include
于是,我就想深入的了解一下PHP伪协议

二.文件包含函数

首先归纳下常见的文件包含函数:include,require,include_once,require_once,highlight_file,show_source,readfile,file_get_contents,fopen,file

三.伪协议

php伪协议即php封装协议,这些协议常被CTF出题中与文件包含漏洞结合。这里做个小结,涉及的相关伪协议有 php://filter
php://input
file://
zip://
data:
http://

四.实验

实验用的是dvwa平台,low级别,phpstudy中的php版本为5.4.45

在index.php同级目录下建立一个txt文件,一个php文件,和一个zip压缩包(包里包含了一个txt文件)
在这里插入图片描述

在这里插入图片描述

最低0.47元/天 解锁文章
软大彭少
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf之php伪协议的使用
一只菜鸟呀的博客
05-20 1175
php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。当它与包含函数结合时,php://filter流会被当作php文件执行。可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行。zip:// 可以访问压缩包里面的文件。当它与包含函数结合时,zip://流会被当作php文件执行。
PHP伪协议精讲(文件包含漏洞)
2301_76251460的博客
07-21 765
PHP伪协议
文件包含漏洞总结
金色%夕阳的博客
08-19 1166
文件包含漏洞总结 CTF中文件包含漏洞 0x01 什么是文件包含漏洞 0X02 文件包含漏洞的环境要求 0X03 常见文件包含函数 0X04 PHP伪协议 1、PHP://INPUT 2、PHP://FILTER 3、ZIP:// 4、DATA://与PHAR:// 0x05 包含APACHE日志文件 0x0
文件包含时涉及PHP伪协议总结
最新发布
qq_43256965的博客
05-14 1070
在做CTF题的时候文件包含题出现多次使用伪协议,学习了下伪协议就顺便写个博客防止以后忘记PHP伪协议总结温故而知新,宁静以致远。
php伪协议漏洞_文件包含漏洞+PHP伪协议
weixin_31706903的博客
01-17 379
BugkuCTF点击发现url中有 ?file=show.php 并且题目flag在index里 猜测文件包含PHP伪协议。猜测php://被过滤构造payload?file=php://filter/read=convert.base64-encode/resource=index.php用base64解码找到flagBugku-ctferror_reporting(0);if(!$_GET[...
文件包含漏洞+php伪协议
unexpectedthing的博客
11-11 6457
文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url指定前缀截断目录遍历编码参考文献 常见的文件包含函数 php文件包含函数有下面四
php伪协议.zipphp伪协议.zip
02-24
在提到的“php伪协议.docx”文件中,可能包含了更详细的关于PHP伪协议的使用示例、历史背景,以及如何在受限环境中安全地使用这些机制的信息。这个文档可能涵盖了如何在不违反安全策略的情况下,利用PHP伪协议来实现...
信息安全技术基础:本地文件包含漏洞.pptx
11-01
【信息安全技术基础:本地文件包含漏洞】 在网络安全领域,本地文件包含漏洞(Local File Inclusion,简称LFI)是一种常见的安全问题,它涉及到网站应用程序如何处理用户输入来决定要加载的本地文件。这类漏洞允许...
信息安全技术:PHP伪协议.pptx
11-01
【信息安全技术:PHP伪协议】 在信息安全领域,理解并掌握编程语言中的安全机制至关重要,特别是对于Web开发常用的语言如PHPPHP伪协议PHP中的一种特殊机制,它允许开发者通过特定的URL格式来访问和操作各种资源...
LFIboomCTF:本地文件包含突破实践原始码以及相应协议利用指南
03-23
实际上:文件包含漏洞是“代码注入”的一种,包含即执行,可干的坏事可想而知,看i春秋总结的危害有如下几种: PHP包含突破性合并上传漏洞PHP包含读文件; PHP包含写文件; PHP包含日志文件; PHP截断包含;...
PHP代码审计音频文件.zip
11-02
任务13:PHP代码审计之目录穿越及文件包含漏洞mp4 任务12:PHP代码审计之文件上传漏洞mp4 任务11:代码审计之CSRF漏洞mp4 任务10:代码审计之XSS漏洞mp4 任务9:代码审计之命令执行漏洞mp4 任务8:代码审计之代码执行...
【每天学习一点新知识】文件包含常用之伪协议
RexHa的博客
02-06 3623
一些比较常用的php伪协议用法及部分演示过程
PHP代码审计 ----- 伪协议
qq_62344745的博客
04-27 409
用于访问本地系统 不受 php.ini里的影响这两个开不开都行file = file://E:\XXX\1.txt 绝对路径读取1.txt文件,当作代码执行?
PHP伪协议
m0_75178803的博客
04-02 1160
可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行,从而导致任意文件读取协议参数:常用的有。
PHP伪协议详解:深入理解PHP流封装协议
可耐特
03-21 776
伪协议,也称为流封装协议,是PHP用于访问各种数据流的一种机制。通过伪协议,开发者可以使用熟悉的文件系统函数,如fopen()fwrite()等,来访问和操作非文件资源。
配合php伪协议利用文件包含漏洞
超人学飞的日子
06-06 9200
php支持多种封装协议,这些协议常被CTF出题中与文件包含漏洞结合,这里做个小总结。实验用的是DVWA平台,low级别,phpstudy中的设置为5.4.45版本,设置allow_url_fopen和allow_url_include都为On.index.phpindex.php同级目录下有mytest001.txt ,mytest002.txt ,mytest003.zip(其中包含mytest...
[php知识点]PHP伪协议
Landasika的博客
05-17 8154
目录 一、前言1、什么是PHP伪协议2、什么时候用PHP伪协议include和require函数include和include_once的区别(require与require_once的区别)highlight_file()和show_source()readfile和file_get_contents和filefile_put_contentsfopen二、PHP伪协议file://...
php伪协议
weixin_60719780的博客
01-27 4465
PHP伪协议,也是php支持的协议和封装协议。file:// 访问本地文件系统php:// 访问各个输入/输出流data:// 数据zip:// 压缩流 不过有些伪协议需要allow_url_fopen和allow_url_include的支持。allow_url_fopen On/Off 允许或禁止打开URL文件allow_url_include On/Off 允许或禁止引用URL文件。
文件包含-伪协议filter
08-22
通过使用filter伪协议,攻击者可以利用文件包含漏洞来读取敏感文件,包括PHP源代码、配置文件等。因此,在编写PHP代码时,务必要注意对用户输入进行严格过滤和验证,避免文件包含漏洞的利用。<span class="em">1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值