php://封装协议

最新推荐文章于 2024-03-22 14:50:16 发布
原创 最新推荐文章于 2024-03-22 14:50:16 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#封装协议 #filter

打算好好看看封装协议:

碰到过:php://input

在写filter扩展时,搜索到了一篇:php://filter

看了下手册,这里牵扯到东西有点多,短时间结束不了,先记下,有时间了整理下这里

php:// 协议
am_03的博客
08-26 412
这里介绍一下:php:// 协议 条件: allow_url_fopen:off/on allow_url_include :php://input php://stdin php://memory php://temp 需要on 作用: php:// 访问各个输入/输出流(I/O streams),在CTF里经常使用的是php://filterphp://input,php://filter用于读取源码,php://input用于执行php代码。 说明: PHP 提供了一些杂项输入/输出(IO)流,允
蓝奏云 php 协议,glob://协议
weixin_39647458的博客
04-02 598
glob:// — 查找匹配的文件路径模式**封装协议摘要**| 属性 | 支持 || --- | --- || 受限于[allow\_url\_fopen](https://www.php.net/manual/zh/filesystem.configuration.php#ini.allow-url-fopen) | No || 受限于[allow\_url\_include](https:/...
PHP封装协议
EFFORTS && VALUE
06-26 1340
流的通信过程: 1、开始通信 2、读取数据 3、写入数据 4、结束通信 描述: 每个流都有一个协议和一个目标。指定协议和目标的方法是使用流标识符。其格式如下 :// 其中,是流的封装协议,是流的数据源 HTTP://封装协议 示例: $json=file_get_contents('http:/
PHP封装协议(伪协议)
qq_51478862的博客
08-18 287
不知怎么的这篇文章有毒,无法从语雀上搬运到csdn,所以麻烦小伙伴们移步去语雀看吧:)传送门
php支持的协议封装协议
weilee2009的专栏
12-06 1157
PHP 带有很多内置 URL 风格的封装协议,可用于类似 fopen()、 copy()、 file_exists() 和 filesize() 的文件系统函数。 除了这些封装协议,还能通过 stream_wrapper_register() 来注册自定义的封装协议。 Note: 用于描述一个封装协议的 URL 语法仅支持 scheme://... 的语法。 scheme:/ 和 sch
php审计基础三:php封装协议小总结
一个码农的笔记
09-21 3249
【1】php://stdin 主要用于php cli 的输入 应用: <? while($line = fopen('php://stdin','r')){ echo fgets($line); } ?> 【2】php://stdout 主要用于php cli的输出 应用: <?php $fh = fopen('php://stdout', 'w')
zf_74_image_74zf.com_http://74zf:com_74zf.com_zip_
09-30
学习C#,你需要理解面向对象编程的基本概念,如类、对象、继承、多态和封装,以及.NET框架、Visual Studio IDE和调试工具的使用。 综上所述,我们可以从这些标签中提炼出一系列IT相关主题:图像处理、Web开发(包括...
学习日志9:XXE+php://filter绕过WAF读内网文件
m0_37622973的博客
09-08 1544
摘自freebuf 出处:https://www.freebuf.com/vuls/211822.html 基础知识: 1.php://filterphp中独有的一个协议,可以作为一个中间流来处理其他流,可以进行任意文件的读取;使用不同的参数可以达到不同的目的和效果:其中resource=<要过滤的数据流>,指定了要筛选过滤的数据流 2.php的data://text/plain;b...
htPHP Wrapper类:简化ht://Dig功能的PHP封装
资源摘要信息:"ht://DigPHP Wrapper类是为了与ht://Dig搜索引擎进行交互而设计的PHP封装类。ht://Dig是一个开源的搜索引擎软件,它可以通过索引文件来提供搜索功能。ht://DigPHP Wrapper类的功能在于简化与ht://Dig...
文件包含中PHP协议学习笔记
2302_80935968的博客
03-22 1324
1.当allow_url_fopen=Off和allow_url_include=Off或allow_url_fopen=Off和allow_url_include=On时,文件包含失败。data:// 同样类似与php://input,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行。2.当allow_url_fopen=On和allow_url_include=On时,include等其他包含函数才会将URL代表的文件包含执行,文件包含成功。
PHPExcel封装类库
02-18
详情使用方法: https://blog.youkuaiyun.com/Code_Pupil/article/details/79851675
PHP协议封装协议/内置协议
m0_52923241的博客
07-23 1699
PHP内置协议/封装协议/伪协议 PHP带有很多内置URL风格的封装协议,这类协议与fopen()、copy()、file_exists()、filesize()等文件系统函数所提供的功能类似;可结合文件包含进行漏洞利用 PHP封装协议: file:// — 访问本地文件系统 http:// — 访问 HTTP(s) 网址 ftp:// — 访问 FTP(s) URLs php:// — 访问各个输入/输出流(I/O streams) zlib:// — 压缩流 data:// — 数据(RFC 2397)
PHP支持的协议封装协议
m0_37477061的博客
06-28 708
http://php.net/manual/zh/wrappers.data.php
语言_php_协议
redglare的博客
10-21 458
php协议
PHP封装协议php流input
m0_73720136的博客
05-07 643
通过本实验,利用PHP封装协议中的php流input,发送POST数据(可利用火狐的插件,也可以利用Burp Suite抓包修改数据包)进行命令执行,可以执行操作系统命令,也可以在服务器端生成木马文件,用Webshell管理工具连接木马文件。
phpExcel在封装
zouhao619的专栏
07-24 1755
<?php /** * 数组生成Excel * @author zouhao zouhao619@gmail.com * 使用示例 * $excel =new Excel(); $data=array( array('id'=>1,'name'=>'天命1'), array('id'=>2,'name'=>'天命2') ); $header=array('ID','角
PHP内置协议(支持的协议封装协议)
weixin_44257023的博客
06-18 392
PHP内置协议(支持的协议封装协议)
PHP协议filter详解,php://filter协议过滤器
热门推荐
wangyuxiang946的博客
06-12 1万+
PHP://filter协议 PHP filter 过滤器
PHP协议详解
逍遥小哥的博客
02-27 2011
require() // 只在执行到此函数时才去包含文件,若包含的文件不存在产生警告,程序继续运行 require_once() // 如果一个文件已经被包含过,则不会在包含它 include() // 程序一运行文件便会包含进来,若包含文件不存在产生致命错误,程序终止运行。php:// 访问各个输入/输出流(I/O streams),在CTF中经常使用的是php://filterphp://input,php://filter用于读取源码,php://input用于执行php代码。
以下哪些是php协议 ogg:// php:// zlib:// phar://
最新发布
03-26
<think>好的,我现在需要回答用户关于PHP协议的问题,特别是要包括ogg、php、zlib、phar这些类型。首先,我需要回忆PHP支持的伪协议,并参考用户提供的引用内容来确保准确性。 用户提到的引用里有几个关键点:php协议php://input、php://filter、data://,还有zlib://和phar://。另外,用户还问到了ogg,这可能是指ogg://,但我不太确定,需要确认PHP是否支持这个协议。 首先,根据引用[2],PHP协议PHP自带的特殊协议机制,可以用于读写操作,不需要文件系统或网络协议。引用[3]提到了一些危险协议php://input,需要禁用。引用[4]详细说明了php://filter的读写用法,以及zlib://、bzip2://等压缩流协议。 现在要列出用户要求的协议:ogg、php、zlib、phar,可能还有其他相关的。我需要逐个检查每个协议是否存在及其用途。 PHP官方文档中的协议包括:php://, file://, http://, ftp://, data://, glob://, phar://, ssh2://, rar://, ogg://, expect://等。其中,ogg://可能用于处理音频流,但实际使用较少。而phar://用于访问PHAR归档文件,zlib://用于处理压缩流。 接下来,需要为每个协议写说明,包括基本用途、语法示例和注意事项。例如,php://input用于读取原始POST数据,php://filter用于过滤处理流,zlib://用于压缩流,phar://访问PHAR文件,ogg://可能和音频有关,但实际应用可能有限,或者用户可能混淆了其他协议。 需要确保每个协议的信息准确,并引用提供的资料。例如,引用[4]提到了zlib://的用法,引用[3]提到php://input的危险性。对于phar://,可能涉及反序列化漏洞,如引用[1]中的例子。还要注意安全建议,如禁用危险协议。 可能用户提到的ogg协议实际是ogg://,但PHP文档中是否有这个协议呢?需要核实。根据PHP文档,ogg://可能属于某些扩展,比如通过封装协议处理Ogg Vorbis音频,但一般情况下可能不常用,或者用户可能误写。需要确认是否存在,如果不存在,可能需要指出这一点。 总结,我需要整理出PHP协议列表,包括用户提到的几个,并给出每个的说明、语法示例和相关安全注意事项,同时引用提供的资料中的内容。例如,phar://在引用[1]中被用来执行代码,说明其潜在风险。此外,确保使用正确的LaTeX格式,如变量用$...$,独立公式用$$...$$,但这个问题中可能较少涉及数学公式,所以重点放在协议列表和说明上。 最后,生成相关问题,如协议的区别、安全防护方法、实际应用例子等。需要确保问题与内容相关,并帮助用户深入理解。</think>### PHP协议列表及说明 PHP协议PHP内置的特殊协议,允许通过流式操作访问文件、压缩包、输入输出等资源[^2]。以下是常见伪协议及其说明: --- #### 1. **`php://`协议** - **用途**:处理输入/输出流、过滤数据或访问临时文件。 - **常见类型**: - **`php://input`**:读取原始POST数据,可能被用于执行恶意代码[^3]。 示例:`file_get_contents('php://input')` - **`php://filter`**:对资源进行过滤处理(如Base64编码)。 读文件示例: ```php file_get_contents('php://filter/read=convert.base64-encode/resource=config.php'); ``` - **`php://temp`** 或 **`php://memory`**:临时存储数据。 --- #### 2. **`phar://`协议** - **用途**:访问PHAR(PHP归档文件)内的内容,常用于反序列化攻击[^1]。 - **示例**: ```php include('phar://example.phar/internal/file.php'); ``` - **风险**:可能触发PHAR反序列化漏洞[^3]。 --- #### 3. **`zlib://`协议** - **用途**:读取或写入Zlib压缩流(`.gz`文件)。 - **示例**: ```php file_get_contents('compress.zlib:///path/to/file.gz'); ``` - **关联协议**:`bzip2://`(Bzip2压缩)、`zip://`(ZIP压缩)[^4]。 --- #### 4. **`ogg://`协议** - **用途**:用于处理Ogg Vorbis音频流,需配合音频扩展使用(如`pecl/oggvorbis`)。 - **说明**:实际使用较少,可能需特定扩展支持。 --- #### 5. **`data://`协议** - **用途**:直接嵌入数据(如Base64编码内容)。 - **示例**: ```php include('data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8+'); ``` - **风险**:可能用于执行任意代码。 --- ### 安全建议 1. **禁用危险协议**:在`php.ini`中设置`allow_url_include=Off`,禁用`php://input`和`data://`。 2. **过滤输入**:避免动态拼接协议路径,如`include($_GET['file'])`。 3. **更新PHP版本**:修复已知的协议相关漏洞。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值