PHP伪协议事实上就是PHP支持的协议与封装协议。

一、通过file://包含

1、条件：

（1）  allow_url_fopen：off/on 都可以

（2）   allow_url_include:off/on都可以

2、作用：

用于访问本地文件系统，通常用于读取本地文件而且不会收到allow_url_fopen和allow_url_include的影响。

在include()/require()/include_once()/require_once()参数可控的情况下，如果导入非.php的文件，则仍按照php语法进行解析，因为这个是include()函数决定的。

绝对路径

测试链接

二、通过php://包含

1、条件：

（1）allow_url_fopen:off/on都可以

（2）allow_url_include: 仅php://input 、php://stdin php://memory、 php://temp 需要on

2、作用：

Php://伪协议有很多的用法，常用的就是php://filter 用于读源码。Php://input用于执行php代码。

Php://filter参数详解：

该协议的参数会在该协议路径上进行传递，多个参数都可以在一个路径上传递。具体参考如下：

resource=<要过滤的数据流>  （文件路径）          必须项。它指定了你要筛选过滤的数据流。

read=<读链的过滤器>  可选项。可以设定一个或多个过滤器名称，以管道符（*\

write=<写链的过滤器>  可选项。可以设定一个或多个过滤器名称，以管道符（\

<；两个链的筛选列表>                任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况  应用于读或写链

转换过滤器：

convert.base64-encode & convert.base64-decode

等同于base64_encode()和base64_decode()，base64编码解码

convert.quoted-printable-encode & convert.quoted-printable-decode

quoted-printable 字符串与 8-bit 字符串编码解码

Php://filter实操

读取当前文件夹

base64编码
file=php://filter/read=convert.base64-encode/resource=shell.php

解码

当前其他文件夹

php://input

此协议需要allow_url_include为on，可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。当传入的参数作为文件名打开时，可以将参数设为php://input,同时post想设置的文件内容，php执行时会将post内容当作文件内容。

php://input 是个可以访问请求的原始数据的只读流。 enctype="multipart/form-data" 的时候 php://input 是无效的。

使用burp suite软件抓包使用php://input伪协议将一句话木马写入

将数据包发送后，观察到一句话木马被包含

三、通过Zip:// & zlib:// 协议包含

1、条件：

allow_url_fopen:off/on都可以的

allow_url_include :off/on都可以的

2、作用：

zip:// & zlib:// 均属于压缩流，可以访问压缩文件中的子文件，更重要的是不需要指定后缀名，可修改为任意后缀：jpg png gif xxx 等等。

zip:// 可以访问压缩包里面的文件。当它与包含函数结合时，zip://流会被当作php文件执行。从而实现任意代码执行。

zip://中只能传入绝对路径。
要用#分割压缩包和压缩包里的内容，并且#要用url编码成%23(即下述POC中#要用%23替换）
只需要是zip的压缩包即可，后缀名可以任意更改。
相同的类型还有zlib://和bzip2://

POC为：
zip://[压缩包绝对路径]#[压缩包内文件]
?file=zip://D:\phpStudy\PHPTutorial\WWW\aacc/xx.zip%23xx.jpg

?file=compress.zlib://D:\phpStudy\PHPTutorial\WWW\aacc/xx.gz

四、data://协议包含

1、条件：

allow_url_fopen:on

allow_url_include :on

2、作用：

自PHP>=5.2.0起，可以使用data://数据流封装器，以传递相应格式的数据。通常可以用来执行PHP代码。

3、用法：

data://text/plain,

data://text/plain;base64,

如果此处对特殊字符进行了==过滤==，我们还可以通过base64编码后再输入：

因为+为连接符无法识别
可以将?>去掉再编码

五、phar://协议包含

phar://协议与zip://类似，同样可以访问zip格式压缩包内容。

1、条件：

allow_url_fopen:off/on都可以的

allow_url_include :off/on都可以的

==只有高版本可以，低版本不行==