PHP伪协议详解

最新推荐文章于 2024-04-01 22:33:07 发布
最新推荐文章于 2024-04-01 22:33:07 发布
阅读量541 收藏 1
点赞数 8
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/windowshht/article/details/136753953
版权

PHP伪协议详解

在这里插入图片描述

PHP伪协议是一种特殊的访问协议,用于在PHP代码中引用或执行远程文件。它提供了读取和写入文件的功能,可以用于本地文件和远程文件的操作。

PHP伪协议使用php://作为协议前缀,后跟一些选项来指定具体的操作。例如:

  • php://input:用于读取来自HTTP请求的原始数据。

  • php://output:用于向HTTP请求发送输出数据。

  • php://filter:用于对数据流进行过滤。

  • php://temp:用于创建临时文件。

  • php://memory:用于在内存中操作数据。
    以下是一些PHP伪协议的常见用法:

  • 读取本地文件:

$content = file_get_contents('php://input');
  • 写入本地文件:
file_put_contents('php://output', $content);
  • 读取远程文件:
$content = file_get_contents('php://filter/read=convert.base64-encode/resource=https://www.example.com/index.php');
  • 使用过滤器对数据流进行过滤:
$content = file_get_contents('php://filter/read=convert.base64-encode/resource=php://input');
  • 创建临时文件:
$file = fopen('php://temp', 'w+');
  • 在内存中操作数据:
$data = 'This is some data.';
$stream = fopen('php://memory', 'w+');
fwrite($stream, $data);
fseek($stream, 0);
$data = fread($stream, strlen($data));
fclose($stream);

使用PHP伪协议时,应注意安全性问题,特别是远程文件执行风险和访问控制问题。

总结

PHP伪协议是一种方便的工具,可以用于读取和写入文件,以及对数据流进行过滤。使用PHP伪协议时,应注意安全性问题。

以下是一些使用PHP伪协议时的安全注意事项:

  • 不要使用PHP伪协议来执行远程文件,除非您确定该文件是安全的。
  • 使用PHP伪协议来读取远程文件时,应使用过滤器来对数据进行验证。
    *使用PHP伪协议来写入文件时,应确保文件具有适当的访问权限。
清水白石008
关注
  • 8
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
php审计--通过php伪协议配合文件包含写入shell
qq_29437513的博客
08-13 698
有群友问过这样一个问题,, http:xxx/123.jpg 传上这样的图片马能不能连到shell? 这有几种情况,,,php解析吧jpg解析成php,iis吧jpg解析成php都可以 我们这里通过php伪协议+存在文件包含的页面做个复现 先写个include函数,include后面没做处理的 <?php $file = $_GET['a']; include "$file"; to 然后,,如果目录阶乘符不能用,url编码后无法绕过,尝试file协议 在我本地环境www目录下存在一个无类型的a
PHP伪协议使用姿势
carrot11223的博客
01-26 2471
这个例子中,我们把file://协议写到了file_get_contents()方法中去,该方法主要用来读取文件,使用file协议即可读取本地文件,但实际上,使用还是不使用file://都可以读取本地文件,为什么还要使用file://呢?php:// 访问各个输入/输出流 (I/O streams), 在ctf中经常使用的是 php://filter 和 php://input。zip:// 可以访问压缩包里面的文件。综上所述,file://后面只能跟绝对路径,跟相对路径的时候就不要写file://了。
伪协议配合回调函数写入命令
最新发布
wikey 的博客
04-01 249
然后payload: GET v2=115044383959474e6864434171594473&v3=php://filter/write=convert.base64- decode/resource=1.php POST v1=hex2bin 最后访问1.php。//用来写文件进去,其中文件名参数是支持伪协议的,用于将第二个参数content进行过滤器后再写进文件里面去。v3得是一个文件把,写入一些命令执行的东西,那我们可以通过伪协议直接生成文件。当然这道题可以学到很多东西,首先我们先分析一下。
配合php伪协议利用文件包含漏洞
超人学飞的日子
06-06 9195
php支持多种封装协议,这些协议常被CTF出题中与文件包含漏洞结合,这里做个小总结。实验用的是DVWA平台,low级别,phpstudy中的设置为5.4.45版本,设置allow_url_fopen和allow_url_include都为On.index.phpindex.php同级目录下有mytest001.txt ,mytest002.txt ,mytest003.zip(其中包含mytest...
php伪协议(文件包含)
bring_coco的博客
05-14 3268
再说明一下,include()函数对文件后缀名无要求,而对其中的语法有要求,即使后缀名为txt,jpg也会被当做php文件解析,只要文件内是<?如果想要读取运行php文件的源码,可以先base64编码,再传入include函数,这样就不会被认为是php文件,不会执行,会输出文件的base64编码,再解码即可。命令:file://E:/phpStudy/PHPTutorial/WWW/DVWA-master/vulnerabilities/fi/2.txt。若采用rot13编码,对php文件中的<?
PHP反序列化漏洞详解.rar
02-07
PHP反序列化漏洞详解-CTF
php使用glob函数遍历文件和目录详解
12-19
php glob()函数返回匹配指定模式的文件名或目录。因此我们可以使用glob函数来查找文件,也可以实现目录的遍历。 函数说明:array glob ( string $pattern [, int $flags ] ) 功能:寻找与模式匹配的文件路径,返回...
PHP代码审计文档.zip
11-02
第18课:PHP伪协议mp4 第17课:PHP弱类型mp4 第16课:PHP代码审计之反序列化漏润mp4 第15课:PHP代码审计之变量盖漏洞mp4 第14课PHP代码审计之任意文件读取及删除漏洞mp4 第13课:PHP代码审计之目录穿越及文件包含漏洞...
PHP代码审计音频文件.zip
11-02
任努18:PHP伪协议mp4 任务17:PHP弱类型mp4 任务16:PHP代码审计之反序列化漏润mp4 任务15:PHP代码审计之变量盖漏洞mp4 任务14PHP代码审计之任意文件读取及删除漏洞mp4 任务13:PHP代码审计之目录穿越及文件包含漏洞...
Centos 64位PHP5.4 Apache Web云服务器操作文档详解
01-25
3、软件版本号、开源协议列表 4、MYSQL及FTP密码 5、软件目录及配置列表 6、软件操作命令汇总 7、开机自启动 8、环境变量 9、系统变更列表 10、更多支持和帮助 11、关于卸载 12、附录教程一:部署网站 13、...
PHP伪协议】源码读取、文件读写、任意php命令执行
07-25 2807
PHP伪协议
PHP代码审计15—PHP伪协议入门
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-20 1036
PHP简单的伪协议使用
PHP伪协议总结
weixin_52385170的博客
01-15 587
php伪协议 封装协议 内置协议
文件包含之伪协议的使用
qq_56438857的博客
07-29 622
之前一直对文件包含的伪协议懵懵懂懂,今天重新学了一下,一下就升华了。顺便整理了一些小笔记,供大家交流学习。
PHP伪协议
qq_62604985的博客
07-10 1138
php伪协议,就是php支持的协议和封装协议file:// 访问本地文件系统php:// 访问各个输入/输出流data:// 数据zip:// 压缩流但是需要注意的是,当使用网络路径进行访问时,需要allow_url_fopen和allow_url_include都为ON。
php伪协议
weixin_60719780的博客
01-27 4329
PHP伪协议,也是php支持的协议和封装协议。file:// 访问本地文件系统php:// 访问各个输入/输出流data:// 数据zip:// 压缩流 不过有些伪协议需要allow_url_fopen和allow_url_include的支持。allow_url_fopen On/Off 允许或禁止打开URL文件allow_url_include On/Off 允许或禁止引用URL文件。
2021-03-17-伪协议
qq_50963064的博客
11-15 1445
伪协议学习 慢慢积累,从平时学习… 伪协议常常出现在文件包含漏洞中。 在PHP中能够照成文件包含的函数有include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile。 函数: include(): ​ 可以放在PHP脚本的任意位置,一般放在流程控制的处理部分中。当PHP脚本执行到include指定引入的文件时,才将它包含并尝试执行。这种方式可以把程序执行时
php://input伪协议详解
07-30
引用[1]中提到,php://input是一种伪协议,用于从请求的主体中获取原始数据。然而,根据引用[1]的描述,如果服务器的allow_url_include设置为off,则无法使用php://input伪协议。这意味着无法通过该伪协议来执行任意的代码。 引用[2]中提到了一种绕过方法,即利用filter协议。通过将恶意代码作为POST请求的一部分,并使用filter协议来执行该代码,可以绕过allow_url_include的限制。例如,可以使用以下代码来将用户输入的内容写入文件: ```php <?php $content = '<?php exit; ?>'; $content .= $_POST['txt']; file_put_contents($_POST['filename'], $content); ?> ``` 引用[3]中提到,当enctype="multipart/form-data"时,php://input是无效的。这意味着在使用该编码类型时,无法使用php://input伪协议来获取请求的主体数据。 综上所述,php://input是一种用于获取请求主体数据的伪协议,但其可用性受到服务器配置和请求编码类型的限制。如果服务器的allow_url_include设置为off,或者使用了multipart/form-data编码类型,php://input伪协议可能无法使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

清水白石008

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值