php 禁用伪协议,PHP伪协议 - 谢公子的个人空间 - OSCHINA - 中文开源技术交流社区...

最新推荐文章于 2023-03-27 13:44:48 发布
最新推荐文章于 2023-03-27 13:44:48 发布
阅读量437 收藏
点赞数
文章标签: php 禁用伪协议

目录

伪协议

什么是伪协议呢?如果你安装了QQ或者TIM,在地址栏输入如下形式,便会调用Timwp.exe会进行解析处理。

tencent://Message/?uin=xxxxxx&websiteName=q-zone.qq.com&Menu=yes

这种形如标准协议HTTP、FTP的自定义协议叫做伪协议。

例如,在E盘下我们有一个 1.txt 文件,内容为:hello,word!

2f17c3fea7756e36fb9a9c9b50435411.png

在网站下有一个 test.php,文件内容如下:

include($_GET['filepath']);

?>

file:// 协议

http://127.0.0.1/test.php?filepath=file:///e:/1.txt

087e0a00cb2e1477b378662c7ac8fc2d.png

php://filter伪协议

该伪协议读取源代码并进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了。

http://127.0.0.1/test.php?filepath=php://filter/read=convert.base64-encode/resource=file://e:/1.txt

537f3065facd940adb693d95e205b2aa.png

php://input伪协议

该伪协议可以将post的数据交给服务器当成文件接收

test.php文件内容如下

echo file_get_contents($_GET['filepath'],'r');

?>

49ed3e16f3568c5b0cc1d8950c90c673.png

本文同步分享在 博客“谢公子”(CSDN)。

如有侵权,请联系 support@oschina.cn 删除。

本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

令狐星尘
关注
PHP伪协议学习总结
不想当脚本小子的脚本小子
12-01 550
今天工作中遇到了一个利于curl来伪装POST传参的方法(这里给大家一个思路,当你觉得利用get传参行不通的时候,不妨试试post传参),其中用到了php伪协议,我对这一块不太了解,只是在学习文件包含漏洞的时候用到了file://这种本地文件包含,在这里我打算系统的学习并且总结一下,也方便了自己日后复习。 首先,php伪协议有以下几种(我觉得很多东西是要记在脑子里的): file:// — 访问本地文件系统 http:// — 访问 HTTP(s) 网址 ftp:// — 访问 FTP(s...
php 伪协议
热门推荐
Ni9htMar3的博客
04-09 2万+
php 伪协议 php:// php://filter
php伪协议
sleepywin的博客
03-27 125
php伪协议
PHP伪协议与文件包含漏洞
z1moq的博客
08-26 341
文件包含漏洞 为了更好的使用代码的复用性,可以使用文件包含函数将文件包含进来,直接使用文件中的代码。但这就产生了文件包含漏洞,产生原因实在通过 PHP 的函数引入文件时,为了灵活包含文件会将被包含文件设置为变量,通过动态变量来引入需要包含的文件。此时如果用户对变量可控,二服务器端卫队变量进行合理的校验或者校验被绕过,就会导致文件包含漏洞 文件包含所用的函数 函数 功能 include() 代码执行到 include() 函数时将执行文件中的 PHP代码 include_once() 当重
php禁用gopher协议,SSRF攻击-运用gopher协议构造POST包--emmmm(http://10.112.68.215:10004/index.php?action=login)...
weixin_36085931的博客
03-18 370
还是天枢的一道CTF题,启程!分析题目,自己注册账户并登陆后,提示输入一个url,网站会自己运行查找网页信息。 emmmmm,很挑衅,网站就当作服务器,我们在url框中输入一个伪造的执行代码,让他运行获取到机密信息,哼哼。这就是SSRF(服务端请求伪造),伪造的代码留给服务端自己执行并返回我们需要的机密信息。在里面乱输入了一些东西,没有任何反馈。此时,我们就要扫描网站啊。1.扫描网站+分析rob...
基于小程序云开发的体育场馆预约小程序研发总结 - CC同学呀的个人空间 - OSCHINA - 中文开源技术交流社区.html
最新发布
11-16
基于小程序云开发的体育场馆预约小程序研发总结 - CC同学呀的个人空间 - OSCHINA - 中文开源技术交流社区.html
策略模式与模板模式的区别 - Eviltuzki的个人页面 - OSCHINA - 中文开源技术交流社区.mht
06-28
策略模式与模板模式的区别 - Eviltuzki的个人页面 - OSCHINA - 中文开源技术交流社区.mht
python实现sip协议_SIP协议的常见命令 - HouWeiGui的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_36280317的博客
02-10 2364
一、常用的一些响应消息和SIP信令:1、sip相应消息100试呼叫(Trying)180振铃(Ringing)181呼叫正在前转(Call is Being Forwarded)200成功响应(OK)302临时迁移(Moved Temporarily)400错误请求(Bad Request)401未授权(Unauthorized)403禁止(Forbidden)404用户不存在(Not Found...
php 如何建立长连接,PHP实现长连接 - mickelfeng的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_34792272的博客
03-22 1214
什么是“长连接”和“短连接”?解释1所谓长连接指建立SOCKET连接后不管是否使用都保持连接,但安全性较差,所谓短连接指建立SOCKET连接后发送后接收完数据后马上断开连接,一般银行都使用短连接解释2长连接就是指在基于tcp的通讯中,一直保持连接,不管当前是否发送或者接收数据。而短连接就是只有在有数据传输的时候才进行连接,客户-服务器通信/传输数据完毕就关闭连接。解释3长连接和短连接这个概念好像只...
umi配置webpack_umi打包相关记录 - 爆裂棉花糖的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_42504048的博客
01-13 1850
1、umi的组成与作用umi的定位既是一个打包构建发布的框架,也是拥有路由管理相关能力的框架,这些能力的拥有得益于它内外集成了50+个插件,让它的功能具有多样性,从打包到支持路由级的按需加载和code splitting,“无所不能”这几个字在这个集成框架里使用也不为过,下面是umi打包源码到发布的流程。 umi 首先会加载用户的配置和插件,然后基于配置或者目录,生成一份路由配置,再基于此路由配置...
网页中点击按钮弹出QQ聊天窗口的功能实现
qq_36926807的博客
06-27 4288
相信大家都有过这样的经历:点击网页上的QQ交谈,就会弹出QQ通讯组件Timwp.exe,然后就可以发起QQ聊天了。那么这个是怎么实现的呢?其实很简单,只要在您的网页上粘贴如下代码即可:<a target="_blank" href="http://wpa.qq.com/msgrd?v=3&uin=1075930808&site=qq&menu=yes"><...
第十天文件包含漏洞 php伪协议
代码审计
03-15 4349
文件包含漏洞PHP中常见包含文件函数常见文件包含漏洞代码文件包含漏洞的危害文件包含的漏洞的分类本地文件包含**1.上传图片马**2.读取网站源码以及配置文件远程文件包含 什么是文件包含 程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件。而无需再次编写,这种 文件调用的过程一般被称为文件包含。 例如:include “conn.phpPHP中常见包含文件函数  include() 当使用该函数包含文件时,只有代码执行到include()函数时才将文件包含进
php伪协议绕过限制写shell
weixin_44304686的博客
06-12 2214
原文链接:https://mochazz.github.io/2019/01/14/php伪协议绕过限制写shell/ 这是在 code-breaking 中遇到的一道题目,名为:easy - phpmagic。题目地址:http://51.158.75.42:8082 整个代码逻辑很简单,需要关注的点就两个。一个是 第17-18行 处存在命令字符串格式化,而这里的格式化变量 domain∗∗经...
PHP伪协议-文件包含漏洞常用的伪协议
wangyuxiang946的博客
08-19 1万+
在实战中文件包含漏洞配合PHP伪协议可以发挥重大的作用,比如读取文件源码,任意命令执行或者开启后门获取webshell等,常用的伪协议php://filter 读取文件源码 php://input 任意代码执行 data://text/plain 任意代码执行 zip:// 配合文件上传开启后门 下面拿ctf.show WEB模块的第3关举个栗子,这一关存在文件包含漏洞 php://filter php://filter 协议可以对打开的数据流进行筛选和过滤,常用于读取文件..
PHP中的危险函数全解析
★昔梦无痕★
08-12 1349
在编译 PHP 时,如无特殊需要,一定禁止编译生成 CLI 命令行模式的 PHP 解析支持。可在编译时使用 –disable-CLI。一旦编译生成 CLI 模式的PHP,则可能会被入侵者利用该程序建立一个WEB Shell 后门进程或通过PHP 执行任意代码。phpinfo()功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。危险等级:中passthru()功
PHP代码审计——PHP中常见的敏感函数列表
qq_44029310的博客
10-03 3450
PHP中常见的敏感函数列表。
谈一谈php://filter的妙用
beyond__devil的博客
10-19 1万+
原文地址: https://www.leavesongs.com/PENETRATION/php-filter-magic.html 这个可能是一个大牛,大家可以看看博客去,我没看过。。。 php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,
PHP Filter伪协议Trick总结
gental_z的博客
01-04 9098
PHP Filter伪协议Trick总结 前言:最近在学习的过程中碰到了很多的filter协议的小trick,在此做一个总结以及对filter协议的一些探索。 PHP Filter协议介绍 ​ php://filter是php中独有的一种协议,它是一种过滤器,可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。官方解释为: php://filter 是一种元封装器,设计用于数据流打开时的筛选过滤应用。这
fpdf.php教程,fpdf使用教程 - ican2089的个人空间 - OSCHINA - 中文开源技术交流社区
05-24
解压缩后将fpdf.php文件放置在你的PHP项目中。 2. 创建PDF文件 要创建一个PDF文件,需要创建一个FPDF对象,如下所示: ``` require('fpdf.php'); $pdf = new FPDF(); ``` 3. 设置PDF属性 可以使用FPDF对象的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值