http://www.ilogpe.com

                                                                  【大发欢乐生肖】php伪协议是什么-PHP问题

                                                                  PHP伪协议

                                                                  首先,我们需要先了解一下我们在CTF中可能遇到的文件包含函数:

                                                                  1、include 2、require 3、include_once 4、require_once 5、highlight_file 6、show_source 7、readfile

                                                                  8、file_ge(t_contents 9、fopen 10、file(比较常见)

                                                                  PHP伪协议事实上就是支持的协议与封装协议(12种)

                                                                  a. file:// — 访问本地文件系统

                                                                  b. http:// — 访问 HTTP(s) 网址

                                                                  c. ftp:// — 访问 FTP(s) URLs

                                                                  d. php:// — 访问各个输入/输出流(I/O streams)

                                                                  e. zlib:// — 压缩流

                                                                  f. data:// — 数据(RFC 2397)

                                                                  g. glob:// — 查找匹配的文件路径模式

                                                                  h. phar:// — PHP 归档

                                                                  i. ssh2:// — Secure Shell 2

                                                                  j. rar:// — RAR

                                                                  k. ogg:// — 音频流

                                                                  l. expect:// — 处理交互式的流

                                                                  是否需要截断

                                                                  1、不需要截断

                                                                  <?phpinclude($_GET['file&#)39;])?>

                                                                  2、需要截断 (在php版本<=5.2中进行测试是可以使用%00截断的)

                                                                  <?phpinclude($_GET['file'].'.php')?>

                                                                  file://协议

                                                                  file://协议在双off的情况下也是可以正常使用的。

                                                                  allow_url_fopen :off/on

                                                                  allow_url_include:off/on

                                                                  file://用于访问本地文件系统,]在CTF中常用来读取本地文件。

                                                                  使用方法:file://文件的绝对路径和文件名。

                                                                  Eg:http://127.0.0.1/cmd.php?file=file://D:/soft/phpStudy/WWW/phpcode.txt

                                                                  php://协议

                                                                  php://协议的使用条件:

                                                                  1. 不需要开启allow_url_fopen

                                                                  2. php://input、 php://stdin、 php://memory 和 php://temp 需要开启allow_url_include。

                                                                  郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

                                                                  上一篇:“毒”App退货难:别问,问就是违约!需支付服务费 - 毒App,毒,霸王条款
                                                                  下一篇:没有了