目录伪协议file:// 协议php://filter 伪协议php://input 伪协议伪协议什么是伪协议呢?如果你安装了QQ或者TIM,在地址栏输入如下形式,便会调用Timwp.exe会进行解析处理。tencent://Message/?uin=xxxxxx&websiteName=q-zone.qq.com&Menu=yes这种形如标准协议H
原创
2021-12-16 15:35:22
574阅读
php伪协议是ctf中的一个考点,目前比较熟悉的伪协议有php://filter, php://input, data://text/plain, file://,后续补充。要成功应用伪协议需要php.ini文件的allow_url_fopen 默认开启 allow_url_include &nb
转载
2023-06-05 16:12:54
163阅读
php://filter是php中独有的一种协议,是一种过滤器,可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。官方解释:php://filter 是一种元封装器,设计用于数据流打开时的筛选过滤应用。这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 fi
原创
2023-09-24 20:47:23
539阅读
0x00php://input//所有测试均allow_url_fopen=On,allow_url_include=On!!!php://input是个可
转载
2023-05-19 17:59:37
745阅读
前言:最近做题web题很多都涉及了PHP伪协议,这次就来详细的了解总结一下!php://说明:PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。php:// 访问输入输出流,有许多子协议,下面就来学习一下(一)php://filter说明:php://f...
原创
2021-10-22 13:32:36
487阅读
filter协议的简单利用: php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器 ...
转载
2021-09-06 16:25:00
132阅读
2评论
n-one)的文件函数非常有用,类似 readfile()...
原创
精选
2023-05-09 13:07:37
400阅读
文件包含漏洞 为了更好地使用代码的重用性,可以使用文件包含函数将文件包含进来,直接使用文件中的代码来提高重用性。但是这也产生了文件包含漏洞,产生原因是在通过 PHP 的函数引入文件时,为了灵活包含文件会将被包含文件设置为变量,通过动态变量来引入需要包含的文件。此时用户可以对变量的值可控,而服务器端未 ...
转载
2021-10-06 20:52:00
542阅读
作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于其它用途
php伪协议利用
什么是伪协议
常用协议
1.file://访问本地文件系统
2.php:// 访问各个输入/输出流
3.data:// — 数据
4.zip和phar
总结
什么是伪协议
PHP 带有很多内置 URL
原创
2021-11-26 11:22:00
873阅读
PHP文件包含漏洞花样繁多,需配合代码审计。 看能否使用这类漏洞时,主要看: (1)代码中是否有include(),且参数可控; 如: (2)php.ini设置:确保 allow_url_fopen=1, allow_url_include=1; 确定了使用的参数之后,就可以开始用伪协议了。 1. ...
转载
2021-09-16 17:23:00
467阅读
2评论
file:// 作用: 用于访问文件(绝对路径、相对路径、网络路径) 示例: ://.xx.com?file=file:///etc/passswd php:// 作用: 访问输入输出流 1. php://filter 作用: 读取源代码并进行base64编码输出 示例: :/
原创
2022-01-21 11:54:54
2165阅读
文章目录总览file://php://php://filterphp://inputdata://参考文章总览php:// — 访问各个输
原创
2022-10-27 06:24:24
426阅读
1php://input协议第一个例子flag.php
<?php$flag = 'flag{flag_is_here}';
test1.php
<?php
include('flag.php');
$a= $_GET["a"];
if(isset($a)&&(file_get_contents($a,'r'))=== 'this is test'){
echo"s
原创
2023-06-04 12:31:18
389阅读
【PHP伪协议】
原创
2022-08-01 08:27:08
2343阅读
可能有人已经早已经知道了,不过我也是一次在研究phar扩展的溢出漏洞时发现的一个技巧,就是利用phar:协议,这个协议可能在渗透过程中会帮你绕过一些东西。我能够想到的是有些waf不会防php后缀的文件,但是他会检测里面的内容,我们可以通过包含的方式,包含rar后缀或者phar后缀里面的txt文件或者jpg文件达到绕过防护的目的,具体我也时间细细的把玩。你们可以自己想想,怎样利用才是最好的。test
转载
2023-05-19 16:17:54
0阅读
最近的比赛都有PHP反序列化的题,于是学习一下。
本文目录
序列化和反序列化
序列化
反序列化unserialize()
魔法函数
PHP伪协议
php://协议
php://input
php://input例题(ctf.show) web3
php://filter
file://协议
phar://协议
zip://协议
data://协议
截断问题
序列化和反序列化
原创
2021-09-14 17:16:33
937阅读
## JavaScript伪协议:定义和用法
在JavaScript中,伪协议(Pseudo Protocol)是一种特殊的URL格式,用于在浏览器中执行特定的JavaScript代码。伪协议的作用类似于协议处理程序,可以用来触发特定的操作或执行特定的函数。本文将介绍JavaScript伪协议的定义、用法和示例代码。
### 定义和用法
JavaScript伪协议是一个以`javascrip
原创
2023-09-15 14:10:52
291阅读
# JavaScript 伪协议解读
## 引言
在现代的 Web 开发中,我们常常看到各种各样的协议和架构设计。其中,JavaScript 伪协议(pseudo-protocol)这一概念可能并不为所有开发者所熟悉。本文将带您深入了解 JavaScript 伪协议的内涵,并展示如何在实际编码中应用它。
## 什么是伪协议?
伪协议可以理解为一种在特定环境下模仿网络协议的机制,它并不使用传
# JavaScript伪协议:一个简单而强大的技巧
在编程世界中,我们经常遇到需要在网页上执行JavaScript代码的情况。通常,我们会使用``标签来引入外部的JavaScript文件,或者直接在HTML文档中嵌入JavaScript代码。然而,有时我们希望在网页中使用一些简单的、不需要额外的文件或代码的JavaScript功能。这时,JavaScript伪协议就派上了用场。
## 什么是
原创
2023-08-09 18:55:40
362阅读
在现代 Web 开发中,JavaScript 伪协议逐渐成为一个话题。伪协议,指的是一种非标准的类似协议的形式,通常出现在 URL 的前缀中,例如 `javascript:`。这类协议在某些场合下被恶意利用,造成安全隐患。因此,在这一博文中,我将详细阐述如何解决 JavaScript 伪协议相关问题。以下是文章的结构和各个部分的内容。
## 背景描述
随着互联网的迅猛发展,Web 应用变得越来
