伪协议 | CN-SEC 中文网

安全文章

靶场科普 | XSS靶场之伪协议注入

点击上方蓝字关注,更多惊喜等着你本文由“东塔网络安全学院”总结归纳靶场介绍XSS靶场之伪协议注入今天，给大家介绍一下“东塔攻防世界”其中的一个靶场：“XSS靶场之伪协议注入”。一、实验介绍1. 为不和...

02月15日11 views评论

阅读全文

安全文章

详解PHP伪协议与常见安全问题

php中有很多封装协议，最常见的如file协议，php协议，data协议，zip和phar协议等等这次我们主要来聊聊php://协议php://stdinPHP 提供了一些杂项输入/输出（IO）流，允...

01月17日18 views评论

阅读全文

安全文章

PHP 伪协议总结

PHP 伪协议总结概述PHP 提供了伪协议，允许灵活的文件和数据处理。这些协议可以成为文件读取、代码执行和数据操作的强大工具。file:// 协议file:// 用于访问本地文件系统，在CTF中通常用...

12月25日10 views评论

阅读全文

文件包含伪协议总结备忘录

0x00 文件包含漏洞漏洞参数原因：源码采用include危险函数，传入对象参数由用户输入控制，可访问上传的包含文件页面。漏洞利用前提：知道包含文件解析的绝对路径，可访问绝对路径页面常见的为协议分...

12月17日安全文章7 views评论

阅读全文

代码审计

记一次审计某站泄露的源码

原文首发在：先知社区https://xz.aliyun.com/t/15886某次源码泄露审计时，易优CMS老版本的任意文件删除突然就出现了，漏洞点一到四为一套thinkphp框架的源码，漏洞点五为易...

10月21日16 views评论

阅读全文

安全文章

PwnLab: init-文件包含、shell反弹、提权靶机渗透思路讲解【附靶机链接】

前言如果需要Vulnhub靶机链接，可以后台私信【PwnLab】，关于网安学习群，可以后台添加作者备注【进群】即可image-20240807181625045start首页有一个登录框image-2...

08月09日24 views评论

阅读全文

安全文章

常见的伪协议以及利用场景

前言在CTF中我们经常会遇到各种文件读取(包含)，SSRF的漏洞，遇到这些漏洞的时候可能会经常看到各种PHP的伪协议，这篇文章就是总结一下常用到的PHP伪协议以及用途。PHP常见的伪协议PHP中常见的...

06月18日55 views评论

阅读全文

安全博客

某某街一处XSS的绕过思路

众测吃便便 0x01 前言疫情影响，过年放假呆在家里实在无聊，上去某平台看了下众测项目，想着挣点口罩钱 0x02 直接闭合一开始尝试直接去闭合<a>标签，发现 "> 输出时会被实体化...

04月03日14 views评论

阅读全文

安全闲碎

另一种用代码启动应用程序的方式

之前写了一篇关于伪协议的文章，当时仅仅是探究了一下浏览器是怎么唤醒应用。既然浏览器可以通过伪协议去唤醒应用，那么系统肯定也可以。（以下均以windows举例）伪协议再粗略介绍一下伪协议，以window...

03月31日27 views评论

阅读全文

安全百科

文件包含-本地+远程

文件包含漏洞成因：文件包含函数加载的参数没有经过过滤或者严格的定义，可以被用户控制，包含其他恶意文件，导致执行了非预期的代码本地包含和远程包含的区别：一个只能包含本地，一个可以远程加载。具体形成原因是...

03月18日13 views评论

阅读全文

代码审计

【PHP代码审计】站点中的Phar反序列化漏洞

Unserialize函数的使用很少见，而Session反序列化可控条件又比较苛刻。这次就和大家分享最后一种Phar伪协议反序列化漏洞案例作为学习，祝师傅们以后审计时多多出洞。前言 PHP反序列化漏...

01月16日58 views评论

阅读全文

安全文章

【Pikachu 靶场精讲】本地文件包含（file include local）

源码分析后端源码路径：pikachu-mastervulfileincludefi_local.phpif(isset($_GET['submit']) && $_...

12月21日25 views评论

阅读全文

靶场科普 | XSS靶场之伪协议注入

详解PHP伪协议与常见安全问题

PHP 伪协议总结

文件包含伪协议总结备忘录

记一次审计某站泄露的源码

PwnLab: init-文件包含、shell反弹、提权靶机渗透思路讲解【附靶机链接】

常见的伪协议以及利用场景

某某街一处XSS的绕过思路

另一种用代码启动应用程序的方式

文件包含-本地+远程

【PHP代码审计】站点中的Phar反序列化漏洞

【Pikachu 靶场精讲】本地文件包含（file include local）

在线咨询

微信