文件包含学习笔记

最新推荐文章于 2022-12-13 23:01:49 发布
最新推荐文章于 2022-12-13 23:01:49 发布
阅读量263 收藏
点赞数
分类专栏: WEB安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Likhaooo/article/details/123823587
版权

文章目录

利用PHP协议包含

我们都知道FTP http file协议。那么同理。
http 超文本传输协议
File 协议本地文件传输协议
那么php协议就是输入/输出流
比如:
$file_in = file_get_contents(“php://input”);
开启PHP协议必须要
allow_url_include && allow_url_fopen 为On 才可以

smb协议包含

之前说
FTP http file协议包含都可以
SMB也不例外。

利用data协议包含

data:text/plain,<?php echo phpinfo();?>

PHP输入输出流

php://filter/convert.base64-encode/resource=./demo2.php

预防

1.过滤/。
2.白名单过滤
3.不让客户端控制文件包含的地址

練家子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
vasp输入文件学习笔记
03-08
VASP 输入文件学习笔记 VASP(Vienna Ab initio Simulation Package)是一款功能强大且广泛应用于材料科学和凝聚态物理领域的计算软件。作为一款专业的 IT 行业大师,我将对 VASP 输入文件的知识点进行详细的解释和...
标准C++ 文件操作学习笔记
01-03
而iostream库中包含的主要头文件就包含fstream; 对文件操作主要设计以下3类 ifstream 文件读(输入)操作类 ofstream 文件写(输出)操作类 fstream 文件读(输入)/写(输出)操作类 ifstream #include #include #...
文件包含
qq_41261181的博客
07-17 156
什么是文件包含 程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个 函数时直接调用此文件。而无需再次编写,这种 文件调用的过程一般被称 为文件包含。 例如:include “conn.php” PHP中常见包含文件函数 include() 当使用该函数包含文件时,只有代码执行到include()函数时才将文件包含进 来,发生错误时之给出一个警告,继续向下执行。 include_once...
文件包含笔记
qq_32812063的博客
11-28 566
文件包含
文件包含一些简单的笔记
Mars748的博客
09-29 317
基于AppServ,XAMPP,WAMP配置php.ini去掉警告信息(NOTICE)的方法详解 AppServ,XAMPP,WAMP都是集成了apache,mysql,php的套装,使用起来比较方便,就不需要再去一个个的配置php,apache和mysql。 下载相应的安装包进行安装,不过对于php项目来说,WAMP会默认显示NOTICE信息,页面上一大段一大段的,比较难看。怎么去掉这些警告信息...
文件包含漏洞 笔记
qq_41453632的博客
11-23 214
文件包含漏洞: c:  #include&lt;stdio.h&gt; php: include"config.php" jsp:&lt;include file ="header.jsp" /&gt; index.php的代码: &lt;?php                            if(@$_GET[xss]) {                             @...
Java基础 学习笔记 Markdownr版
06-27
学习笔记主要涵盖了Java的基础知识,包括面向对象、集合、IO流、多线程、反射与动态代理以及Java 8的新特性等方面,旨在帮助初学者或有经验的开发者巩固和提升Java编程技能。 1. 面向对象(OOP):Java的核心是...
java学习笔记markdown
03-12
【Java学习笔记Markdown版】是针对Java初学者和进阶者的一份详尽教程,以Markdown格式编写,便于阅读和整理。Markdown是一种轻量级的标记语言,它允许用户使用易读易写的纯文本格式编写文档,然后转换成结构化的HTML...
文件管理器源码与学习笔记
08-28
这个名为"文件管理器源码与学习笔记"的压缩包很可能是为开发者或计算机科学爱好者提供的一个学习资源,包含了文件管理器的源代码以及作者在学习过程中编写的笔记。通过对这些源码的学习,我们可以深入理解文件系统的...
文件包含漏洞笔记(一)
Lkio的博客
01-28 278
记录一下文件包含漏洞的相关知识,并对CVE-2018-12613 复现分析。
File Inclusion(文件包含漏洞)学习 / 伪协议
Goodric的博客
01-25 2448
file inclusion(文件包含漏洞) 在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 通过文件包含函数将文件包含进来,直接使用包含文件中的代码。 大多数情况下,文件包含函数中包含的代码文件是固定的,因此也不会出现安全问题。 但有些时候,使用函数包含文件时,被包含的文件就设置为了函数的变量。 通过动态变量来引入需要包含的文件时,用户可以对变量的值可控而服务器端未对变量值进行合理地校验或者校验被绕过,这样就导致了文件包含漏洞。 通常文件包含
文件包含漏洞相关协议详解
最新发布
永远是少年
12-13 2438
今天继续给大家介绍渗透测试相关知识,本文主要内容是文件包含漏洞相关协议详解。 一、文件包含常用协议 1、file协议 2、php相关协议 3、zip协议 4、data协议 5、其他协议 二、各协议利用条件
web渗透【10】文件包含漏洞
司徒荆的博客
01-06 894
文件包含漏洞,包含本地文件包含漏洞,session文件包含漏洞,远程文件包含漏洞,php伪协议
文件包含-伪协议
孤的博客
10-02 8801
文件包含漏洞利用的前提 1.web 应用采用 include 等文件包含函数,并且需要包含的文件路径是通过用户传输参数的方式引入; 2.用户能够控制包含文件的参数,被包含的文件可被当前页面访问; 在使用文件包含漏洞时,必须要能知道其绝对路径 方法: 在包含文件处,查看其返回的错误的信息 伪协议文件包含 file:// 访问本地文件系统 http:// 访问 HTTPs 网址 ftp:// ...
文件包含的漏洞、原理、利用
m0_52556798的博客
03-28 4226
最近的总结都比较简单,但不是在水,只是在我学习过程中总结的觉得真的有用的知识,还有就是有些代码发不出来我也没办法,所以就有所调整。 文件包含原理是啥? 文件包含漏洞:即file inclusion,意思是文件包含,是指当服务器开启allow_url_include选项时, 就可以通过PHP的某些特性函数(include(),require()和include_once(),requir_once())利用URL去动态包含文件, 此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。 讲讲
ftp、https、file三种协议
bufuzao的博客
10-19 7707
file协议 1、解释:File协议主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件一样。 2、格式:file://机器的IP地址/目录/文件,例如要打开D盘images文件夹中的111.png文件,那么可以在资源管理器或IE地址栏中键入file://D:/images/111.png然后回车。 注:(1)对于本地机器,机器的IP地址可变成127.0.0.1或localhost或什么也不写。 (2)“/”符号一个都不能少。 f...
文件包含技巧拓展】————2、zip或phar协议包含文件
Fly_鹏程万里
01-30 3209
这个方法适用于验证包含文件为特定后缀时。 例如以下代码 &lt;?php $file = $_GET['file']; if(isset($file) &amp;&amp; strtolower(substr($file, -4)) == ".jpg"){ include($file); } ?&gt; &lt;?php $file = $_GET['file']; include($fi...
file协议
weixin_33929309的博客
05-26 573
file协议 就是打开本地的文件(断网也可以打开) 特点 快 http https 打开的是远程(断网就打不开了) 转载于:https://www.cnblogs.com/Aaron1Tall/p/10926262.html...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

練家子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值