php伪协议是什么,怎么用

原创 于 2025-12-18 10:11:13 发布 · 263 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

参考b站:BXS-TEAM

php伪协议是php种预封装的一些协议,通过关键词去访问它,就能达到绕过一些代码的目的从而利用漏洞

常用协议:

每个协议有使用条件,就是allow_url fopen allow_url include这两个选项,这两个条件被满足的时候才可以被利用

常用场景:文件包含

文本包含大致种类:

1.input

2.file

3.Filter

(4.Phar 5.Zip)

1.input

?file是你传的变量名它等于php://input,

在输入的同时你不管是用Hackbar还是用BP,你给他post一个你想运行的语句

变量=php://input,post你想运行的语句

用bp传:

<?php
    include($_GET['file']);
?>

这段代码的意思是:

  1. 从URL的file参数获取文件名

  2. 直接将该文件包含并执行

在路径后?file(因为参数是file)=php://input

抓到包后,在请求头下面直接写post的东西就行

2.file

用于访问服务端本地文件

变量=file://文件地址

还是这个

<?php
    include($_GET['file']);
?>

像这样就访问到了网站根目录1.txt

3.Filter

范式(建议记下来):变量=php://filter/convert.base64/resource=文件名

它把文件名进行了base64编码

有些东西写在注释,你是看不到的,用Filter就可以看原本程序

什么是PHP伪协议
weixin_44703272的博客
03-22 637
`php://stdin`、`php://stdout`、`php://stderr`:标准输入、输出和错误流。- **示例**:`ssh2.sftp://user:pass@example.com/path/to/file`。- **示例**:`phar://path/to/archive.phar/file.php`。- **示例**:`rar://path/to/archive.rar/file.txt`。- **示例**:`file:///path/to/file.txt`。
php 伪协议是什么?
分享各类领域技术问题
08-31 1230
php 伪协议是什么?
php协议,php伪协议是什么
weixin_35216469的博客
03-09 428
PHP伪协议首先,我们需要先了解一下我们在CTF中可能遇到的文件包含函数:1、include 2、require 3、include_once 4、require_once 5、highlight_file6、show_source 7、readfile8、file_get_contents 9、fopen 10、file(比较常见)PHP伪协议事实上就...
PHP伪协议是什么?
MIT计算认知研究院特聘研究员,DeepMind超对称量子拓扑项目组首席架构师。
12-30 1358
PHP伪协议是一种特殊的URL协议,它允许PHP直接从PHP内部生成数据或者访问PHP自身处理的数据流,而不需要外部资源。这些协议是由PHP解释器内部定义和处理的,不同于HTTP、FTP、HTTPS等标准网络协议。
php伪协议
qq_74303907的博客
07-09 1695
php exit();php exit();?php exit();??这样即使插入了一句话木马,在被使用的时候也无法被执行。这样的死亡exit通常存在于缓存、配置文件等等不允许用户直接访问的文件当中。
php伪协议总结
金色%夕阳的博客
08-19 699
php伪协议总结 一.【file://协议】 二.【php://协议】 三.【zip://, bzip2://, zlib://协议】 四.【data://协议】 五. 常规小结:
⭐️PHP伪协议详解
Python老吕的博客
03-06 7071
PHP伪协议PHP自己支持的一种协议与封装协议,简单来说就是PHP定义的一种特殊访问资源的方法。有些伪协议成功执行需要allow_url_fopen和allow_url_include的支持。allow_url_fopen On/Off 允许或禁止打开URL文件allow_url_include On/Off 允许或禁止引用URL文件。
PHP伪协议
m0_71864767的博客
08-28 759
PHP伪协议(pseudo-protocol)是一种在PHP中用作文件访问的特殊机制。它允许通过“伪协议”指定一个处理方式来处理特定的文件或数据。
PHP伪协议详解
热门推荐
cosmoslin的博客
10-11 5万+
PHP伪协议详解 php支持的伪协议 1 file:// — 访问本地文件系统 2 http:// — 访问 HTTP(s) 网址 3 ftp:// — 访问 FTP(s) URLs 4 php:// — 访问各个输入/输出流(I/O streams) 5 zlib:// — 压缩流 6 data:// — 数据(RFC 2397) 7 glob:// — 查找匹配的文件路径模式 8 phar:// — PHP 归档 9 ssh2:// — Secure Shell 2 10 rar:// — RAR 11
什么是php伪协议,并举例说明
02-25
PHP伪协议的使用极大地扩展了PHP的功能,使得开发者能够更加灵活地处理各种数据。 首先,我们要理解PHP伪协议的基本概念。PHP内置了一些伪协议,如`file://`用于访问本地文件系统,`data://`用于传递Base64编码的...
php伪协议.zipphp伪协议.zip
02-24
在提到的“php伪协议.docx”文件中,可能包含了更详细的关于PHP伪协议的使用示例、历史背景,以及如何在受限环境中安全地使用这些机制的信息。这个文档可能涵盖了如何在不违反安全策略的情况下,利用PHP伪协议来实现...
Web安全之PHP伪协议漏洞利用,以及伪协议漏洞防护方法_php伪协议是漏洞吗
2401_84297193的博客
05-02 893
PHP伪协议的原理是,在数据报的头部中添加一个特殊的标志位,用于指示该数据报是伪协议数据报。当PHP读取数据报时,它会检查该标志位是否为0.如果标志位为0,则它将直接读取内存中的数据;如果标志位为1,则它将会解析数据报,并根据数据报的头部信息来执行相应的操作。PHP伪协议的主要应用场景是缓存和压缩数据。通过数据报的头部添加特殊标志位,PHP可以在读取数据时直接读取缓存中的数据,而不需要进行解析。这对于提高缓存命中率和压缩数据非常有用。
【CAN通信】AUTOSAR架构下TC3xx芯片是如何进行模式切换的
qq_36056498的博客
12-14 98
AUTOSAR架构下TC3xx芯片是如何进行模式切换的
WordPress更新警示:Elementor用户请暂缓升级至最新版本
wordpress学习笔记
12-15 377
过去几个月里,WordPress官方论坛、Elementor社区以及各大技术支持平台上涌现了大量求助帖,核心问题惊人的一致:“更新WordPress后,我的网站崩溃了!最后,记住这条黄金法则:如果你的网站运行良好且安全,没有迫切需要新功能或安全修补程序,那么“如果没有坏,就不要修理它”这句老话在WordPress更新中同样适用。这是一个复杂的工程挑战,需要时间。数据显示,超过60%出现问题的网站运行的是Elementor 3.10之前的版本,而他们升级到的WordPress版本却是6.2或更高。
安装php7.4.33的shell脚本
qq_34886696的博客
12-11 186
本文介绍了一个用于CentOS 7系统的PHP 7.4.33自动化部署脚本。该脚本包含完整的安装流程:检查系统环境、创建必要目录、安装依赖库、下载并编译PHP源码、配置PHPPHP-FPM、创建systemd服务文件、优化系统参数等。脚本支持安装常用PHP扩展如Redis、ImageMagick,并包含安全配置和性能优化选项。安装完成后会生成测试脚本phpinfo.php,方便验证PHP是否正常运行。
WordPress定制开发最佳公司的用户画像
qq_26894175的博客
12-15 866
深入解析WordPress定制开发最佳公司所服务的典型用户画像,涵盖中大型企业数字化转型、电商平台专业运营、内容创作与媒体发布、SaaS服务平台建设、政府非营利组织、创意行业品牌展示、技术驱动创新应用、在线教育培训、地产汽车信息展示、餐饮服务本地运营等十大领域。文章详细分析各行业客户的特殊需求、技术挑战和解决方案,帮助企业准确定位自身需求并选择合适的WordPress技术服务商。云策WordPress建站16年专注WordPress技术服务,为各行业客户提供网站建设、定制开发、插件开发、主题开发和WooCo
告别 Shell 脚本:用 Laravel Envoy 实现干净可复用的部署
qq_31470439的博客
12-12 762
文章摘要: Laravel Envoy 是一个解决传统 Shell 部署脚本问题的工具,它通过类 PHP 语法提供更清晰、可维护的部署流程。Envoy 允许开发者将复杂的 bash 脚本拆分为多个命名任务,组合成可复用的 story,并支持多环境部署。相比传统 shell 脚本,Envoy 提供了更好的结构组织、变量管理、任务分组和错误处理能力。文章详细介绍了如何从 shell 脚本迁移到 Envoy,包括安装配置、任务拆分、环境变量管理和任务组合等关键步骤,帮助开发者实现更干净、可维护的部署流程。
poster自定义海报开发——海报组件开发
最新发布
freedomhua的专栏
12-17 213
本文介绍了自定义海报组件的开发流程,包括组件定义、语言包设置和前后端实现。组件定义文件components.php需放置在特定目录,支持定义组件类型、图标、属性等参数。系统提供基础海报组件,开发者可根据业务需求扩展。前端需分别实现预览组件(preview-)和编辑组件(edit-),其中预览组件需展示简单效果,编辑组件可调用框架封装的公共属性编辑功能。组件支持自定义字体,需将字体文件存放在指定目录。开发过程中需注意组件路径命名规范,前后端组件需保持对应关系。
PHP 值对象实战指南:避免原始类型偏执
qq_31470439的博客
12-17 526
本文介绍了如何在PHP项目中通过值对象(Value Object)避免原始类型偏执问题。作者指出常见的日期、金额等概念如果直接用string/int表示,会导致验证逻辑重复分散。通过将领域概念封装为值对象(如Date、Money类),可以集中校验逻辑并增强代码表达力。文章展示了如何实现这些值对象,并赋予它们相关行为,还提供了在Laravel和Symfony框架中的集成方案。最后建议采用渐进式迁移策略,逐步用值对象替换原始类型,使代码更清晰、可维护且符合领域表达。
php伪协议是什么?
07-29
PHP伪协议是一种特殊类型的URL,它并不真正代表互联网上的一个标准协议(如HTTP、FTP等),而是为了某种内部操作或自定义目的而创建的一种约定。这种URL通常以“phar://”或者其他类似的形式开始,用于处理PHP的文件系统访问,特别是当涉及到离线包(PHAR,PHP Archive)的时候。通过PHP伪协议,开发者可以在本地文件系统上模拟网络资源的行为,比如下载、安装和更新软件包。 例如,`phar://path/to/package.phar/install.php` 这样的URL可以被PHP解析并执行打包中的install.php文件,就像它在网络上的一样。然而,外部浏览器通常不会直接支持这些伪协议,它们需要由服务器环境的PHP解析和处理。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值