php伪协议

最新推荐文章于 2022-05-25 17:23:21 发布
最新推荐文章于 2022-05-25 17:23:21 发布
阅读量122 收藏
点赞数
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/since_2020/article/details/119567164
版权

常见伪协议

filter伪协议

一般用来读取文件

?file=php://filter/convert.base64-encode/resource=index.php

data伪协议

if(isset($text)&&(file_get_contents($text,'r')==="ctf")){
   echo $flag;
}

在这种情况下,file_get_contents()要求读取文件内容到一个字符串,但这里没没有文件,而要读取text变量,使用data伪协议绕过

?text=data://text/plain;base64,ZmxhZw==

white_&_black
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第十天文件包含漏洞 php伪协议
代码审计
03-15 4144
文件包含漏洞PHP中常见包含文件函数常见文件包含漏洞代码文件包含漏洞的危害文件包含的漏洞的分类本地文件包含**1.上传图片马**2.读取网站源码以及配置文件远程文件包含 什么是文件包含 程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件。而无需再次编写,这种 文件调用的过程一般被称为文件包含。 例如:include “conn.phpPHP中常见包含文件函数  include() 当使用该函数包含文件时,只有代码执行到include()函数时才将文件包含进
php伪协议 过滤,[WEB安全]PHP伪协议总结
weixin_39928003的博客
03-19 166
0x01 简介首先来看一下有哪些文件包含函数:include、require、include_once、require_once、highlight_fileshow_source 、readfilefile_get_contents 、fopen 、file有哪些伪协议file:// — 访问本地文件系统http:// — 访问 HTTP(s) 网址ftp:// — 访问 FTP(s) U...
文件包含&PHP伪协议利用
技术超强的网络安全平台
11-20 5263
文件包含&PHP伪协议利用 相关函数 要想成功利用文件包含漏洞进行攻击,需要满足以下两个条件: 1、Web应用采用include()等文件包含函数通过动态变量的方式引入需要包含的文件; 2、用户能够控制该动态变量。 php中引发文件包含漏洞的通常是以下四个函数: (1) Require: 找不到被包含的文件时会产生致命错误(E_COMPILE_ERROR),并停止脚本,如果在包含的过程中有错,比如文件不存在等,则会直接退出,不执行后续语句。; (2) Require_once:与 include 类
文件包含漏洞&认识认识
weixin_54882883的博客
05-25 157
文件包含 概念 什么时候文件包含 那么文件包含呢简单来说就是 你的大哥,你有六个小弟, 那么大哥就有这六个小弟的呼叫方式, 当他要那个小弟的帮助就直接呼叫那个小弟那个小弟就会过滤帮助他了 那么用专业的话来说就是, 有ABCD四个文件 那么A文件里面设置了文件包含的函数 那么当A文件需要B文件的时候,就包含B文件就可以了,当A文件需要C文件就包含C文件就可以了, 可以怎么去简单理解 那么程序员为什么会用到文件包含呢 首先就是一个方便,当A文件需要B文件的时候就直接通过文件包含,包含B文件就可以,直接把B
BWVS-PHP伪协议
baynk的博客
11-26 886
0x00 前言 这个也算文件包含漏洞的一部分吧,刚刚好整理了下,就当漏洞复现了。 //php支持的伪协议 file:// — 访问本地文件系统 http:// — 访问 HTTP(s) 网址 ftp:// — 访问 FTP(s) URLs php:// — 访问各个输入/输出流(I/O streams) zlib:// — 压缩流 data:// — 数据(RFC 2397) glob:// — ...
php伪协议.zipphp伪协议.zip
02-24
PHP伪协议】是PHP中一种特殊的机制,它允许开发者通过特定的URL格式来访问和操作服务器上的资源,比如文件系统、数据库等。这个概念在PHP的早期版本中较为常见,但出于安全考虑,现代PHP环境中已经对伪协议的使用...
php伪协议概述.pdf
02-24
PHP伪协议是一种特殊的URL协议,用于在PHP中进行文件操作。它允许在URL中指定文件路径,并通过内置的PHP函数来访问和操作文件内容。
什么是php伪协议,并举例说明
最新发布
02-25
PHP伪协议PHP中一种特殊的机制,它允许开发者在PHP代码中通过特定的字符串格式来访问和处理非标准的数据源,这些数据源可能不是实际的网络协议,而是PHP内部或者自定义的数据接口。PHP伪协议的使用极大地扩展了PHP...
php伪协议.pdfphp伪协议.pdfphp伪协议.pdf
02-24
php伪协议php伪协议.pdfphp伪协议.pdf
php伪协议的解释.txt
02-24
php伪协议
ctf题php反序列化,从一道CTF题中学习php反序列化与伪协议
weixin_39927214的博客
04-01 1784
之前一直有想写关于反序列化的东西,可是一直拖拖拖,拖到了现在。本文尝试从ZJCTF2019中的例题来了解何为php反序列,以及php伪协议。原题:逆转思维1234567891011121314151617181920$text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&am...
2016xctf一道ctf题目
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
20210218CTF伪协议绕过file_get_contents(bugkuctf的web21御结冰城感想)
qq_45290991的博客
02-18 1万+
CTF中常用的php伪协议利用 </h1> <div class="clear"></div> <div class="postBody"> file://# 作用: 用于访问文件(绝对路径、相对路径、网络路径) 示例: http://www.xx.com?file=file:///etc/passswd ph...
五种常见的php伪协议
yao_xin_de_yuan的博客
08-31 5431
1、php://input 可以获取POST的数据流 条件: allow_url_include=On allow_url_fopen-Off/On POC: file =php://input POST:phpinfo(); 2、php://filter 可以获取指定文件的源码,但是当他与包含函数结合是,php://filter流会被当做php文件执行 。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取 条件: allow_url_fopen=Off/On allow_url_includ
关于php伪协议的一些个人总结
m0_46896375的博客
07-20 515
PHP伪协议0x01 前言0x02 PHP伪协议的概述及种类0x03 部分常用伪协议及其利用方法0x04 结语 0x01 前言 emmm暑假闭关了一个月后感慨良多(我怎么莫名其妙就要大二了???),于是准备好好总结一下自己这段时间的学习内容,做一点简单的笔记,方便自己日后翻阅,同时也希望能够给大家带来一点小小的帮助。 这里总结了部分关于php伪协议的利用方法(为什么只有一部分?那当然是因为剩下的我还没遇到过~) 0x02 PHP伪协议的概述及种类 php伪协议,即是指其支持的协议与封装协议,共有如下12种:
CTF-练习平台 Web writeup By Assassin [暂时完结]
热门推荐
Assassin
04-06 6万+
签到题 web2 文件上传测试经典的题目,用burp抓包得到如下 然后我们更改一下上传路径然后用%00截断一下即可Content-Disposition: form-data; name="file"; filename="3.png%001.php"计算题改一下浏览器中的text的长度Web3进去一直弹框,没完没了…直接禁用了F12看源码,发现有一个<!--KEY&#
PHP伪协议总结
大方子
09-06 3万+
0x00php://input //所有测试均allow_url_fopen=On,allow_url_include=On!!! php://input是个可以访问请求的原始数据的只读流。POST请求的情况下,最好使用php://input来代替$HTTP_RAW_POST_DATA,因为它不依赖于特定的php.ini指令。而且,这样的情况下$HTTP_RAW_POST...
php伪协议简介
fightte的博客
05-17 1528
PHP伪协议 1.1 什么是php伪协议?: 当然,大多数看到ctf的人,都会看到phpwxy,大家都不例外。 PHP伪协议 首先,我们需要先了解一下我们在CTF中可能遇到的文件包含函数: 1、include 2、require 3、include_once 4、require_once 5、highlight_file 6、show_source 7、readfile 8、file_get_contents 9、fopen 10、file(比较常见) PHP伪协议事实上就是支持的协议与封装协议(12种)
php伪协议常用代码
08-05
常用的PHP伪协议代码包括: 1. 使用php://input执行PHP代码:这种方法可以通过将PHP代码作为POST数据传递,然后使用php://input伪协议来执行代码。例如,可以使用以下代码来执行phpinfo()函数并将结果输出到页面上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值