目录
伪协议
什么是伪协议呢?如果你安装了QQ或者TIM,在地址栏输入如下形式,便会调用Timwp.exe会进行解析处理。
tencent://Message/?uin=xxxxxx&websiteName=q-zone.qq.com&Menu=yes
这种形如标准协议HTTP、FTP的自定义协议叫做伪协议。
例如,在E盘下我们有一个 1.txt 文件,内容为:hello,word!
在网站下有一个 test.php,文件内容如下:
include($_GET['filepath']);
?>
file:// 协议
http://127.0.0.1/test.php?filepath=file:///e:/1.txt
php://filter伪协议
该伪协议读取源代码并进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了。
http://127.0.0.1/test.php?filepath=php://filter/read=convert.base64-encode/resource=file://e:/1.txt
php://input伪协议
该伪协议可以将post的数据交给服务器当成文件接收
test.php文件内容如下
echo file_get_contents($_GET['filepath'],'r');
?>
本文同步分享在 博客“谢公子”(CSDN)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。