php伪协议简介

最新推荐文章于 2026-04-18 09:09:59 发布
原创 最新推荐文章于 2026-04-18 09:09:59 发布 · 1.9k 阅读 · 14
标签
#php #网络安全
本文介绍了PHP伪协议的概念及其在CTF挑战中的应用。详细列举了PHP支持的12种伪协议,并通过实例演示如何利用php://filter进行文件内容读取。

PHP伪协议

1.1

什么是php伪协议?:

当然,大多数看到ctf的人,都会看到phpwxy,大家都不例外。

PHP伪协议

首先,我们需要先了解一下我们在CTF中可能遇到的文件包含函数:

1、include 2、require 3、include_once 4、require_once 5、highlight_file 6、show_source 7、readfile

8、file_get_contents 9、fopen 10、file(比较常见)

PHP伪协议事实上就是支持的协议与封装协议(12种)

a. file:// — 访问本地文件系统

b. http:// — 访问 HTTP(s) 网址

c. ftp:// — 访问 FTP(s) URLs

d. php:// — 访问各个输入/输出流(I/O streams)

e. zlib:// — 压缩流

f. data:// — 数据(RFC 2397)

g. glob:// — 查找匹配的文件路径模式

h. phar:// — PHP 归档

i. ssh2:// — Secure Shell 2

j. rar:// — RAR

k. ogg:// — 音频流

l. expect:// — 处理交互式的流

php支持多种封装协议,这些协议常被CTF出题中与文件包含漏洞结合

所以是php设置好的支持的一种协议。

这里有一张形象的图片:
在这里插入图片描述

最低0.47元/天 解锁文章
深入理解 PHP 伪协议
m0_59328104的博客
03-12 2105
PHP 的世界中,伪协议(Pseudo-protocol)是一种特殊的 URL 格式,它允许开发者以一种与众不同的方式访问和操作资源。它们看起来像是标准的 HTTP 或 FTP 地址,但实际上这些地址指向的是本地文件系统上的资源或者内存中的抽象概念。本文将深入探讨 PHP 伪协议的概念、使用方法以及在实际开发中的应用,并强调安全使用的重要性。需要注意的是,PHP 伪协议提供了强大的功能,但同时也可能带来安全风险。PHP 伪协议是一系列特殊的 URL 格式,它们使得 PHP 脚本能够以不同方式访问资源。
Web安全之PHP伪协议漏洞利用,以及伪协议漏洞防护方法_php伪协议是漏洞吗(1)
2401_84297035的博客
05-02 956
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
PHP伪协议实战:用php://input和filter在CTFHub RCE挑战中读取flag
最新发布
weixin_42539414的博客
04-18 238
本文深入探讨了PHP伪协议在CTF竞赛和渗透测试中的高阶应用,重点解析了`php://input`和`php://filter`的组合使用技巧。通过实战案例展示了如何绕过RCE限制和源码泄露,同时提供了防御者的防护策略,帮助安全研究人员提升Web安全攻防技能。
【文件包含中的伪协议
My笔记的博客
05-15 2069
php.ini 中的两个重要选项 PHP 中几个比较重要的伪协议php://input 协议还可以用来生成一句话木马,这里假设我们用的之前的直接包含的php代码: 这是一个文件上传的页面可以上传一个文件上去 上传后发现失败了,那就说明不是文件上传的题目,我们在url地址栏发现了一个op参数和一个key参数,我们用文件审查查看一下源代码 点开后,看到一个op的参数,看到这个好参数我们会想到可能存在文件包含,比如我们改成upload 就变成了上传文件的页面,这里我们可以猜到通过op的参数包含不同的文件
web安全——伪协议
永远相信美好的事情即将发生
02-06 1万+
伪协议常常用于文件包含漏洞之中。在php中能够造成文件包含的函数有include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile 函数 1.include函数 可以放在PHP脚本的任意位置,一般放在流程控制的处理部分中。当PHP脚本执行到include指定引入的文件时,才将它包含并尝试执行。这种方式可以把程序执行时的流程进行简单化。当第二次遇到相同文件时,PH
PHP伪协议
errorr0
03-13 7116
php伪协议,安全入门新手值得一看
PHP伪协议详解
热门推荐
cosmoslin的博客
10-11 5万+
PHP伪协议详解 php支持的伪协议 1 file:// — 访问本地文件系统 2 http:// — 访问 HTTP(s) 网址 3 ftp:// — 访问 FTP(s) URLs 4 php:// — 访问各个输入/输出流(I/O streams) 5 zlib:// — 压缩流 6 data:// — 数据(RFC 2397) 7 glob:// — 查找匹配的文件路径模式 8 phar:// — PHP 归档 9 ssh2:// — Secure Shell 2 10 rar:// — RAR 11
003-漏洞梳理篇之php伪协议
weixin_44508748的博客
08-22 6417
PHP伪协议指的是PHP所支持的协议与封装协议(共12种),在web渗透漏洞利用中常用于配合文件包含进行web攻击,从而获取网站权限。 环境概要: php.ini配置文件参数: allow_url_fopen :on #默认开启 ,表示允许url里的封装协议访问文件; allow_url_include:off #默认关闭,表示不允许包含url里的封装协议包含文件; ...
PHP伪协议保姆级总结
2401_84893440的博客
03-22 2170
如果allow_url_include​配置项被开启,攻击者可以通过远程文件包含(Remote File Inclusion, RFI)的方式,将一个远程文件的内容传递给file_get_contents()​,从而绕过本地文件的限制。如果allow_url_include=On​,攻击者还可以利用本地文件包含(Local File Inclusion, LFI)的方式,通过file_get_contents()​读取本地文件内容。​php://input​是一个PHP伪协议,用于读取原始输入数据。
PHP伪协议攻防实战
2401_88614482的博客
07-18 1796
今天学习了PHP伪协议相关知识,写几道题目来巩固理解。
⭐️PHP伪协议详解
Python老吕的博客
03-06 7493
PHP伪协议PHP自己支持的一种协议与封装协议,简单来说就是PHP定义的一种特殊访问资源的方法。有些伪协议成功执行需要allow_url_fopen和allow_url_include的支持。allow_url_fopen On/Off 允许或禁止打开URL文件allow_url_include On/Off 允许或禁止引用URL文件。
2021-03-17-伪协议
qq_50963064的博客
11-15 2400
伪协议学习 慢慢积累,从平时学习… 伪协议常常出现在文件包含漏洞中。 在PHP中能够照成文件包含的函数有include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile。 函数: include(): ​ 可以放在PHP脚本的任意位置,一般放在流程控制的处理部分中。当PHP脚本执行到include指定引入的文件时,才将它包含并尝试执行。这种方式可以把程序执行时
伪协议的简单了解
2301_80010733的博客
05-28 1528
PHP伪协议详解:危险而强大的I/O通道 伪协议PHP中特殊的URL式协议,用于统一访问各类I/O流和系统资源。主要类型包括:php://input(读取POST原始数据)、php://filter(流过滤处理)、data://(内联数据嵌入)和phar://(PHAR归档访问)等。这些协议常被用于文件包含漏洞利用、SSRF攻击、反序列化攻击等高危场景。防御措施包括禁用危险PHP配置(allow_url_include)、实施输入白名单验证、路径限制以及协议黑名单过滤。开发人员必须充分理解这些协议的安全风
PHP-伪协议
摘星怪sec的blog
04-25 9552
常用的伪协议有就可以利用使用文件包含函数包含文件时,文件中的代码会被执行,如果想要读取文件源码,可以使用对文件内容进行编码,编码后的文件内容不会被执行,而是展示在页面中,我们将页面中的内容使用解码,就可以获取文件的源码了。
PHP伪协议精讲(文件包含漏洞)
2301_76251460的博客
07-21 1182
PHP伪协议
文件包含支持的伪协议
qq_50673174的博客
05-15 9695
文件包含漏洞的补充。 主要是文件包含漏洞支持的伪协议
php伪协议
weixin_60719780的博客
01-27 7012
PHP伪协议,也是php支持的协议和封装协议。file:// 访问本地文件系统php:// 访问各个输入/输出流data:// 数据zip:// 压缩流 不过有些伪协议需要allow_url_fopen和allow_url_include的支持。allow_url_fopen On/Off 允许或禁止打开URL文件allow_url_include On/Off 允许或禁止引用URL文件。
[php知识点]PHP伪协议
Landasika的博客
05-17 9999
目录 一、前言1、什么是PHP伪协议2、什么时候用PHP伪协议include和require函数include和include_once的区别(require与require_once的区别)highlight_file()和show_source()readfile和file_get_contents和filefile_put_contentsfopen二、PHP伪协议file://...
[CTF_网络安全] 攻防世界 Web_php_include 解题详析(php伪协议、data伪协议、file伪协议)
2401_84208172的博客
05-24 2823
[CTF_网络安全] 攻防世界 Web_php_include 解题详析(php伪协议、data伪协议、file伪协议),该题考察文件包含漏洞,涉及PHP伪协议data伪协议file伪协议PHP内置函数等知识点,希望读者躬身实践。黑客&网络安全如何学习。
伪协议总结
m0_62805300的博客
04-24 2236
php file://:访问本地文件系统。 http://localhost/test.php?file=file://C:\Windows\System32\drivers\etc\hosts php://访问各个输入输出流 php://input:将POST输入流当做PHP代码执行。 http://localhost/test.php?file=php://input POST:<?php phpinfo(); php://filter: 一种元封装器, 设计用于数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

F1gh4

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值