php伪协议

已于 2022-08-17 19:26:30 修改
阅读量633 收藏
点赞数
文章标签: php 开发语言
于 2022-08-17 14:39:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52159400/article/details/126384107
版权
本文介绍了PHP的几个伪协议,包括file://、php://、zip://和data://,详细解析了它们的工作原理和使用场景。在file://协议中,即使allow_url_fopen和allow_url_include设置为off,仍可读取本地文件。php://协议中,php://filter用于读取和编码数据流,而php://input能获取POST请求的原始数据。zip://协议可访问压缩文件内的子文件,data://协议则需allow_url_fopen和allow_url_include都开启。这些协议在CTF和Web安全中具有重要应用。
摘要由CSDN通过智能技术生成

目录

一、file://协议

二、php://协议

1、php://filter

2、php://input

 三、zip://协议

四:data://协议

涉及的相关协议:file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、data://等。在此之前我们先要了解allow_url_include和allow_url_fopen两个配置含义。

allow_url_fopen = On (允许打开URL文件,预设启用)
allow_url_fopen = Off (禁止打开URL文件)
allow_url_include = Off (禁止引用URL文件,新版增加功能,预设关闭)
allow_url_include = On (允许引用URL文件,新版增加功能)

查看以下文件观察配置打开还是关闭或者更改配置信息。

/usr/local/lib/php.ini      //不一定在当前目录,可通过find或local命令查找

find / -name +文件名

local +文件名

根据 php.ini 文件位置,实际命令会略有不同。

一、file://协议

file://协议在双off的情况下也可以正常使用。

allow_url_fopen :off/on

allow_url_include:off/on

file:// 用于访问本地文件系统,在CTF中通常用来读取本地文件的

最低0.47元/天 解锁文章
喜乐有分享
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP伪协议
weixin_55190422的博客
09-23 1022
进来是这样 我们查看网页源代码 发现上面是一段PHP代码 对于第一个if我们只要让参数中不要出现_这个符号即可采用%20绕过对于第二个if我们首先传入的参数中要有2333其次要匹配pregmatch所以搜索换行符的URL编码%0a绕过 b%20u%20p%20t=23333%0a 即可绕过 提示我们有个PHP文件我们进去 告诉我们需要是127.0.0.1所以hackbar修改一下 发现是一团乱码不懂是啥然后百度一下这个是JSfuck编码我们解码得到 说..
WEB安全之文件包含漏洞(2)
最新发布
2301_81685556的博客
06-22 617
日志文件是用于记录系统操作事件的记录文件或文件集合,可分为事件日志和消息日志。具有处理历史数据、诊断问题的追踪以及理解系统的活动等重要作用。
BUUCTF之[ZJCTF 2019]NiZhuanSiWei -------------- php和data伪协议,和反序列化
weixin_44632787的博客
07-17 575
BUUCTF之[ZJCTF 2019]NiZhuanSiWei 知识点: PHP伪协议 php://filter data:// 题目: <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "&lt
php伪协议详细总结
qq_45951598的博客
12-05 1690
php伪协议实现命令执行的七种姿势 PHP伪协议总结
【文件上传】zip伪协议上传解析
serendipity1130的博客
08-29 1939
1.打开界面是登陆框,查看源码,发现有文件包含include($_GET['file']) 2.然后根据题目名称:文件上传,访问网址:/upload.php发现了文件上传点,先上传了jpg图片,发现不能用菜刀连接,应该是无法解析jpg。 3.因为有文件包含,所以考虑到使用伪协议包含木马图片的文件进行菜刀连接,因为都有过滤,最终尝试了zip伪协议可以进行访问。 4.方法:首先制作一句话木马的zip包,然后将后缀名改为jpg,进行上传,上传成功后复制图片地址,可以发现图片的地址为upload/2.jpg
php伪协议.pdfphp伪协议.pdfphp伪协议.pdf
02-24
### PHP 伪协议详解 #### 一、概览 PHP 伪协议是一种特殊的 URL 格式,用于在 PHP 代码中执行特定的操作。这些伪协议主要用于处理文件读取、网络请求以及数据处理等方面。理解并恰当地使用 PHP 伪协议对于开发安全...
php伪协议.zipphp伪协议.zip
02-24
PHP伪协议】是PHP中一种特殊的机制,它允许开发者通过特定的URL格式来访问和操作服务器上的资源,比如文件系统、数据库等。这个概念在PHP的早期版本中较为常见,但出于安全考虑,现代PHP环境中已经对伪协议的使用...
PHP封装伪协议zip
m0_73720136的博客
05-08 842
通过本实验,利用PHP封装伪协议中的zip流,先将要执行的PHP代码写好文件名为test.txt,将test.txt进行zip压缩,压缩文件名为test.zip,绕过文件上传的限制,如果可以上传zip文件便直接上传,若不能便将test.zip重命名为test.jpg后再上传。使用zip协议需要指定绝对路径,使用相对路径会包含失败;同时将#编码为%23。
安全(伪协议小结)
weixin_54225453的博客
08-17 367
涉及的相关协议:file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、data://
php封装协议查看zip,支持的协议和封装协议
weixin_35125159的博客
03-20 274
用户评论:[#1]ohcc at 163 dot com [2015-11-05 18:45:38]echo$HTTP_RAW_POST_DATA;?>[#2]nguyenanthuan at gmail dot com [2014-11-18 11:05:33]Eachstreampointertophp://memoryandphp://temphasitsownme...
PHP-伪协议
摘星怪sec的blog
04-25 4054
常用的伪协议有就可以利用使用文件包含函数包含文件时,文件中的代码会被执行,如果想要读取文件源码,可以使用对文件内容进行编码,编码后的文件内容不会被执行,而是展示在页面中,我们将页面中的内容使用解码,就可以获取文件的源码了。
zip伪加密
aiquan9342的博客
10-23 102
简单的话来阐述   zip伪协议的意思是说本来不需要密码的zip文件然后通过修改标志位,然后就可以达到有密码的效果对吗?但是他实际是没有密码。 一个 ZIP 文件由三个部分组成:   压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志   详情:http://blog.csdn.net/wclxyn/article/details/7288994 实例说明...
phar / zip 伪协议的应用wp
CHUNJIUJUN的博客
08-13 1753
查看源码 显示只能上传txt文件 上传一个txt文件试试 上传成功 这里我们退回主页面,发现有一个LFI here,意思是:这里是文件包含,点进去发现页面和源码什么都没有 退回主页面查看主页面源码,发现有提示 lfi.txt 我们将刚刚的 lfi.php 改成 lfi.txt 试一试,发现有内容,意思是给file传了一次参数,给file传的参数不能为空,无论file名是什么,都在file名后加一个 .php 后缀,注释的意思是值允许php文件被包含 ...
初识zip伪加密
热门推荐
sid10t.
09-27 2万+
文章目录声明题一:法一:法二:题二: 声明 1)该文章部分内容整理自网上的资料,如不小心侵犯了大家的权益,还望海涵,并联系博主删除。 2)博主是萌新上路,文中如有不当之处,请各位大佬指出,共同进步,谢谢。 本博文以两道题目为例,浅谈关于zip伪加密的一些内容。 题一: 从网站中下载下来一个ee2f7f26-5173-4e7a-8ea4-e4945e6f04ff.zip压缩包文件,根据题目提示,这是个zip伪加密,因此有以下两种做法, 法一: 将压缩包通过QQ发给好友,再用手机打开查看,不一定每次都行, 法
php伪协议常用代码
08-05
常用的PHP伪协议代码包括: 1. 使用php://input执行PHP代码:这种方法可以通过将PHP代码作为POST数据传递,然后使用php://input伪协议来执行代码。例如,可以使用以下代码来执行phpinfo()函数并将结果输出到页面上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值