如何使用“PHP” 彩蛋进行敏感信息获取-php手册-PHP中文网

首页

php教程

php手册

如何使用“PHP” 彩蛋进行敏感信息获取

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 am 11:41 AM

php使用信息关于如何彩蛋敏感的获取进行

关于“PHP彩蛋”的说法也许很多老PHPer已经都知道或听说了，好像是早在PHP4版本的时候就有彩蛋了，挺好玩儿的，可能近年来逐渐被人们遗忘了，其实彩蛋功能在PHP脚本引擎默认情况下是开启。

写个phpinfo();然后访问，再加上以下的GET值即可查阅
下面就用Discuz官方论坛做一下测试：
http://www.discuz.net/?=PHPE9568F34-D428-11d2-A769-00AA001ACF42
http://www.discuz.net/?=PHPE9568F35-D428-11d2-A769-00AA001ACF42
http://www.discuz.net/?=PHPE9568F36-D428-11d2-A769-00AA001ACF42
http://www.discuz.net/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
如上4个链接加红色的部分是PHP源码/ext/standard/info.h中定义的GUID值，如下图所示

关于PHP彩蛋这个玩法已经被国外的某些Web漏洞扫描器(例如：HP WebInspect)所使用了，用其来探测被扫描的网站使用的是何种Web开发语言。其实在渗透测试过程中经常遇见某些网站难以辨别出使用了何种Web开发语言，因为有些网站采用动态脚本生成纯静态HTML页或者是采用URL重写实现伪静态页面，如果网站使用的是PHP开发的话，可以尝试使用彩蛋的探测法，在很多情况下可以一针见血的鉴定出来，因为默认情况下彩蛋的功能在php.ini中是开启的，当然如果不想让别人通过彩蛋的方式来获取网站的敏感信息的话，那就在php.ini中将expose_php = Off即可!

看完上面这些可能有些人会说既然php.ini中的expose_php = On，那么直接抓包看看http头信息不就OK了，可是某些大站点Web服务器的前面都是有反向代理服务器的，所以还不能完全依赖于捕获http头中的信息。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

如何在Go中使用命名管道？May 11, 2023 pm 04:22 PM

命名管道是一种在操作系统中相对比较低级的进程通信方式，它是一种以文件为中介的进程通信方式。在Go语言中，通过os包提供了对命名管道的支持。在本文中，我们将介绍如何在Go中使用命名管道来实现进程间通信。一、命名管道的概念命名管道是一种特殊的文件，可以被多个进程同时访问。在Linux系统中，命名管道是一种特殊的文件类型，它们存在于文件系统的某个位置上，并且可以在

如何在Go中使用第三方库？May 11, 2023 pm 03:30 PM

在Go语言中，使用第三方库是非常方便的。许多优秀的第三方库和框架可以帮助我们快速地开发应用程序，同时也减少了我们自己编写代码的工作量。但是如何正确地使用第三方库，确保其稳定性和可靠性，是我们必须了解的一个问题。本文将从以下几个方面介绍如何使用第三方库，并结合具体例子进行讲解。一、第三方库的获取Go语言中获取第三方库有以下两种方式：1.使用goget命令首先

如何在PHP中使用协程？May 12, 2023 am 08:10 AM

随着传统的多线程模型在高并发场景下的性能瓶颈，协程成为了PHP编程领域的热门话题。协程是一种轻量级的线程，能够在单线程中实现多任务的并发执行。在PHP的语言生态中，协程得到了广泛的应用，比如Swoole、Workerman等框架就提供了对协程的支持。那么，如何在PHP中使用协程呢？本文将介绍一些基本的使用方法以及常见的注意事项，帮助读者了解协程的运作原理，以

如何在Go中使用音频处理？May 11, 2023 pm 04:37 PM

随着音频处理在各种应用场景中的普及，越来越多的程序员开始使用Go编写音频处理程序。Go语言作为一种现代化的编程语言，具有优秀的并发性和高效率的特点，使用它进行音频处理十分方便。本文将介绍如何在Go中使用音频处理技术，包括读取、写入、处理和分析音频数据等方面的内容。一、读取音频数据在Go中读取音频数据有多种方式。其中比较常用的是使用第三方库进行读取，比如go-

如何在Go中使用嵌套结构？May 11, 2023 pm 04:39 PM

在Go语言中，嵌套结构是一种非常常见的技术。通过将一个结构体嵌入到另一个结构体中，我们可以将复杂的数据模型分解成更小的部分，使其易于理解和维护。本篇文章将介绍如何在Go中使用嵌套结构以及一些最佳实践。一、定义嵌套结构首先，我们需要定义一个包含嵌套结构的结构体。下面的代码演示了如何定义一个包含Person结构体的Company结构体：typePersons

如何在 Windows 11 中按需使用 OneDrive 的文件Apr 14, 2023 pm 12:34 PM

<p>Windows 系统上的 OneDrive 应用程序允许您将文件存储在高达 5 GB 的云上。OneDrive 应用程序中还有另一个功能，它允许用户选择一个选项，是将文件保留在系统空间上还是在线提供，而不占用您的系统存储空间。此功能称为按需文件。在这篇文章中，我们进一步探索了此功能，并解释了有关如何在 Windows 11 电脑上的 OneDrive 中按需使用文件的各种选项。</p><h2>如何使用 On

如何在Go中使用WebSocket？May 11, 2023 pm 04:17 PM

近年来，WebSocket技术已经成为了Web开发中不可或缺的一部分。WebSocket是一种在单个TCP连接上进行全双工通信的协议，它使得客户端和服务器之间的通信更加流畅和高效。如今，很多现代的Web应用程序都使用了WebSocket技术，例如实时聊天、在线游戏以及实时数据可视化等。Go语言作为一个现代的编程语言，自然也提供了很好的支持WebSock

如何在Go中使用反转依赖？May 11, 2023 pm 03:39 PM

Go语言中的反转依赖是一种非常实用的技术，它可以帮助开发者更好地进行软件开发。在本文中，我们将详细介绍什么是反转依赖，并且演示如何在Go语言中使用它来优化软件。一、什么是反转依赖在传统的软件开发中，模块之间存在着依赖关系。一些模块被其他模块所依赖，而另一些模块则依赖于其他模块。这种依赖关系在软件中非常普遍，但同时也会带来很多问题。一旦一个模块的代码发生了变化

See all articles