Web学习·PHP伪协议和文件包含(部分)

最新推荐文章于 2024-03-22 14:50:16 发布
最新推荐文章于 2024-03-22 14:50:16 发布
阅读量710 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wengbinqiang17/article/details/105918578
版权
文件包含函数

(当利用这四个函数来包含文件时,不管文件是什么类型(图片、txt等等),都会直接作为php文件进行解析)
PHP中文件包含函数有以下四种:

require()
require_once()

include()
include_once()

解析:
1.其实可以把require()和include()作为两个大类,require_once()和include_once()是它们的变形。
include在包含的过程中如果出现错误,会报一个警告,但是程序会继续正常运行;而require函数出现错误时,会直接报错并退出程序的执行。
两者是整个程序是否完全运行的区别。
2.include_once(),require_once()这两个函数,与前两个的不同之处在于这两个函数只包含一次。如果一个文件已经被包含过了,则require_once() 和 include_once() 则不会再包含它。
这两个函数适用于在脚本执行期间同一个文件有可能被包括超过一次的情况下。如果想要确保它只被包括一次,避免函数重新定义、变量重新赋值,可以采用这两种函数。

文件包含漏洞产生原因

文件包含函数加载的参数没有经过过滤或者严格的定义,可以被用户控制,包含其他恶意文件,导致了执行了非预期的代码。

本地文件包含漏洞(LFI-local)

需要能够控制包含的文件

1.无限制本地文件包含漏洞
常见的敏感信息路径:

Windows系统
c:\boot.ini /
最低0.47元/天 解锁文章
wengbinqiang17
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php伪协议读取目录,PHP文件包含文件读取的利用思路,以及配合伪协议的trick...
weixin_31178795的博客
03-28 1312
PHP文件包含函数有两类,分三种:12file_get_contents()include()/include_once() require/require_once()第一种用于获取文件的数据,第二种用于包含并执行代码与读取文件两种功能php文件的函数1file_put_contents()基本的思路就是用来写shell吧,不过会有各种限制,但是结合伪协议就可以简单绕过了file_get_...
Android上传文件Web服务器 PHP接收文件
01-05
Android上传文件到服务器,通常采用构造http协议的方法,模拟网页POST方法传输文件,服务器端可以采用JavaServlet或者PHP来接收要传输的文件。使用JavaServlet来接收文件的方法比较常见,在这里给大家介绍一个简单的...
php文件包含 伪协议
m0_64361111的博客
02-28 1028
PHP有很多内置 URL风格的封装协议,这类协议与fopen()、 copy()、 file_exists()和filesize()的文件系统函数所提供的功能类似。 zip:// 伪协议 先将要执行的PHP代码写好文件名为test.txt,将test.txt进行zip压缩,压缩文件名为test.zip,如果可以上传zip文件便直接上传,若不能便将test.zip重命名为test.jpg后再上传 在网站根目录创建1.txt,内容为 压缩,压缩后在浏览器访问 php://input ..
文件包含PHP伪协议学习笔记
最新发布
2302_80935968的博客
03-22 821
1.当allow_url_fopen=Off和allow_url_include=Off或allow_url_fopen=Off和allow_url_include=On时,文件包含失败。data:// 同样类似与php://input,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行。2.当allow_url_fopen=On和allow_url_include=On时,include等其他包含函数才会将URL代表的文件包含执行,文件包含成功。
php伪协议 配合 文件包含漏洞.md
god_Zeo的安全博客
06-12 1264
0x00 起因 被问到了php的一伪协议 后发现自己对伪协议的认识还是太浅, 现在好好总结学习一番 又感觉自己学了半天不知道自己在干嘛。。。哎。。。 0x01 环境 PHP版本:5.4.45 PHP.ini: allow_url_fopen :on 默认开启 allow_url_include:om 默认关闭 PHP版本<=5.2 可以使用%00进行截断,但是少有低版本的了。。。 先站在前人的大肩膀看看总结 ,主要是两个选项的开关,实验我默认都开了 freebuff上看到的 0x02 具体的协议
php伪协议文件包含
bring_coco的博客
05-14 3261
再说明一下,include()函数对文件后缀名无要求,而对其中的语法有要求,即使后缀名为txt,jpg也会被当做php文件解析,只要文件内是<?如果想要读取运行php文件的源码,可以先base64编码,再传入include函数,这样就不会被认为是php文件不会执行,会输出文件的base64编码,再解码即可。命令:file://E:/phpStudy/PHPTutorial/WWW/DVWA-master/vulnerabilities/fi/2.txt。若采用rot13编码,对php文件中的<?
php伪协议c,文件包含之:php伪协议
weixin_34649372的博客
03-27 195
file://协议条件:allow_url_fopen:off/onallow_url_include:off/on作用:用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响。include()/require()/include_once()/require_once()参数可控的情况下,如导入为非.php文件,...
HTTP协议下用Web Service上传大文件的解决方案
10-30
在UploadInstance类中,我们定义了多个字段,包括GUID、上传时间、文件长度、当前指针、服务器路径和用户ID。我们还定义了多个属性,用于获取和设置这些字段的值。 上传文件的过程 在上传文件的过程中,我们首先...
php结合web uploader插件实现分片上传文件
12-18
最近研究了下大文件上传的方法,找到了webuploader js 插件进行大文件上传,大家也可以参考这篇文章进行学习:《Web Uploader文件上传插件使用详解》 使用  使用webuploader分成简单直选要引入 <!--引入CSS--&...
Web Servers-SOAP协议-如何通过WSDL文件生成所需的接口文件.docx
08-19
对于WebServers的通信协议,根据客户提供的WSDL文件生成接口文件,免去到客户现场连内网下载的时间。亲测可用。C# VB.NET可用
文件下载包伪代码,可以解决部分问题
07-21
浏览器文件下载伪代码,web端从服务端下载文件,或是通过浏览器生成文件下载到本地。文件下载包伪代码,可以解决部分问题
文件包含伪协议
qq_60905276的博客
10-11 507
如果url出现有?file=XXX.php等是典型的文件包含 如下 文件包含可以使用PHP伪协议php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取。 php://fileter 可以读取目标文件的内容,由于读取时,一些代码不能显示,通常使用Base64加密后读取再解密。 文件包含知识点 一、原理: 在开发过程中,当频繁需要跳转网页,或者需要某个函数...
php伪协议 文件包含(一)
weixin_51692662的博客
10-14 558
文件包含php伪协议
PHP伪协议精讲(文件包含漏洞)
2301_76251460的博客
07-21 696
PHP伪协议
文件包含漏洞+php伪协议
unexpectedthing的博客
11-11 6357
文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url指定前缀截断目录遍历编码参考文献 常见的文件包含函数 php文件包含函数有下面四
php伪协议总结
h0ld1rs的博客
08-12 2719
文章目录file:// 协议条件:作用:说明用法php:// 协议条件作用:例子zip:// & bzip2:// & zlib:// 协议条件作用用法data:// 协议条件作用用法示例phar:// 协议用法 file:// 协议 条件: allow_url_fopen:off/on allow_url_include :off/on 作用: 用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响。 inclu
文件包含漏洞
Y1da的博客
04-16 230
文件包含漏洞 相关函数 include()如果在包含文件的过程中出错,只会提出警告,会继续执行后续语句。 require()如果在包含文件的过程中出错,比如文件不存在等,直接退出,不执行后续语句。 include_once(),与include()相似,但如果一个文件已经包含过了,就不会包含它。 require_once(),与'require()`相似,但如果一个文件已经包含过了,就不会包含它。 应用场景 具有相关的文件包含函数 文件包含函数中存在动态变量 include $fil
php中apache的配置文件在哪,Apache服务器的配置文件介绍
weixin_39552204的博客
03-11 404
Apache 主配置文件主配置文件通过将指令放在纯文本配置文件中来配置Apache。主配置文件通常是一个名称为:httpd.conf的文本文件。此文件的位置在编译时设置,但可以使用-f命令行标志覆盖。 ( 推荐学习:Apache服务器 )此外,可以使用Include指令添加其他配置文件,并且可以使用通配符包含许多配置文件。任何指令都可以放在任何这些配置文件中。只有Apache在启动或重新启动时才...
文件包含&php伪协议
Xiiaogu的博客
12-14 597
文件进行base64编码再读出,即在file=后,flag前加上php://filter/read=convert.base64-encode/resource=file=php://input,下方输入<?没有flag,再输入<?添加完数据后打开终端,查找目录下文件,输入ls,没有flag。返回查找根目录,输入ls /,里边有flag文件
文件包含-伪协议filter
08-22
通过使用filter伪协议,攻击者可以利用文件包含漏洞来读取敏感文件,包括PHP源代码、配置文件等。因此,在编写PHP代码时,务必要注意对用户输入进行严格过滤和验证,避免文件包含漏洞的利用。<span class="em">1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值