中职网络安全php代码审计——危险函数

已于 2022-02-28 14:00:46 修改
阅读量4k 收藏 1
点赞数
分类专栏: php 中职网络安全 网络安全 文章标签: php web安全 安全 网络安全 网络
于 2022-02-28 11:16:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YZ913/article/details/123178175
版权
本文探讨了PHP中的潜在危险函数,如phpinfo()可能导致的文件包含漏洞,以及eval()、assert()、system()、exec()、passthru()、shell_exec()和popen()在执行系统命令和代码时的安全风险。这些函数如果不慎使用,可能成为攻击者利用的入口,造成严重的安全问题。
摘要由CSDN通过智能技术生成

phpinfo():

这个函数的主要作用就是来查看网站的各种信息

在靶机中写好php代码之后访问网站

就会看到网站的信息

在信息中浏览会发现有文件包含的漏洞

文件包含漏洞:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全中职组p10方面php审计方法与审计步骤
qq_57147160的博客
04-07 206
本节课主要讲解了php审计的方法与大体框架, 首先我们审计代码的时候首先要做的是先看网站的根目录下有什么文件 在进行下一步的判断: 解释: 分析网站: 分析admin目录: 分析完毕打开kali进行渗透: 可以看到有留言等,这里就可能存在漏洞,如sql注入还有xss。 从这里我们看到or被过滤掉了。 我们找到文件进行分析: 我们使用手法将其绕过: 成功绕过。 ...
2023年中职网络安全技能竞赛网页渗透(审计版)
旺仔Sec&blog
01-18 2715
2023年中职网络安全技能竞赛网页渗透(审计版)
中职网络安全代码审计基础-PHP危险函数及特殊函数
qq_57147160的博客
01-07 2687
首先就是phpinfo()这个函数,这个函数的主要作用就是查看网站上的各种信息: 随后我们来进行访问网站: 就看到网站上的各种信息。 其中这两个函数的开启和文件包含漏洞有关: 下一个危险函数就是eval()函数了 这个函数的主要作用就是执行php函数,通常在写一句话木马的时候使用 <?php @eval($_GET['cmd']); ?> 可以看到我们通过使用GET传参执行system函数成功执行命令。 当然有时候网站肯定是将.
中职网络安全php代码审计——php常见的ini配置
panda.
03-08 220
使用phpstudy查看配置文件即可 phpstudy文件网盘链接: 链接:https://pan.baidu.com/s/1WXuxMueUkgeXE2L1CSzY2Q 提取码:dawf 禁用函数/类 禁用某些函数: disable_functions = 禁用某些类: disable_classes = 需要设置多个类/函数,需要用英文逗号进行分隔 disable_classes只能禁用内置的类 只能禁用内置函数/类的原因: 1、自定义的函数/类是由用户自己控.
2021年中职网络空间安全最新国赛赛题解析仅代表自己的建议——zz-网络安全试题(10)解析
PushSafe
06-06 3980
2021年全国职业院校技能大赛(中职组) 网络安全竞赛试题 (10) (总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A. 基础设施设置与安全加固;B. 网络安全事件响应、数字取证调查和应用安全;C. CTF夺旗-攻击;D. CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名称 竞赛时间 (小时) 权值 A 基础设施设置与安全加固
2024三掌柜赠书活动第十期:Web漏洞解析与攻防实战
热门推荐
软贱开发攻城狮
02-21 1万+
我们通过了解不同类型的Web漏洞、实施安全评估和修复、模拟攻击等措施,可以加固系统的安全性,保护用户的个人信息和敏感数据,还有就是持续关注最新的漏洞和安全威胁也是非常重要的,以便及时采取措施应对新的攻击方式。本书共11章,分别为Web安全概述、计算机网络基础知识、测试工具与靶场环境搭建、传统后端漏洞(上、下)、前端漏洞(上、下)、新后端漏洞(上、下)、逻辑漏洞(上、下),每章以不同的漏洞类型为小节内容,尽可能涵盖已发现和公开的所有重大Web安全漏洞类型。同时,定期进行安全更新和漏洞扫描也是非常重要的。
2022年全国职业院校技能大赛(中职组)网络安全竞赛试题(2)
weixin_53827545的博客
03-07 742
2022年全国职业院校技能大赛(中职组)网络安全竞赛试题(2)
2022年全国职业院校技能大赛(中职组)网络安全竞赛试题(3)
君逍遥o
05-11 288
2022年全国职业院校技能大赛(中职组)网络安全竞赛试题(3)
2023中职网络建设与运维-理论赛题答案
Selina_lv
08-14 2888
目录 模块一:网络理论测试 一、单选题 1.单选题1-50 2.单选题51-100 3.单选题101-150 4.单选题151-200 5.单选题201-250 6.单选题251-300 7.单选题301-350 8.单选题351-400 二、判断题 1.判断题1-50 2.判断题51-100 模块一:网络理论测试答案 一、单选题 1.单选题1-50 1.贵公司正在评估数据中心虚拟化技术,要求您解释第1类和第2类虚拟化管理程序之间的区别。以下哪项是第1类虚拟化管理程序的典型
2022年中职网络安全广东省技能竞赛代码渗透测试flag0072渗透环境
07-06
【标题】"2022年中职网络安全广东省技能竞赛代码渗透测试flag0072渗透环境"涉及的是网络安全领域中的代码渗透测试,这是在中职教育阶段一项重要的技能竞赛,旨在提升学生的网络安全实战能力。磐云杯是这类竞赛的...
中职网络安全隐写术应用
12-19
中职网络安全隐写术应用】是一篇针对中等职业教育网络安全领域的文章,旨在探讨和介绍隐写术在网络安全中的实际应用。隐写术(Steganography)是一种将秘密信息隐藏在看似无害的载体(如图像、音频或文本文件)中...
中职网络安全数据分析包infiltration.pacapng
10-11
中职网络安全数据分析包infiltration.pacapng
中职网络安全竞赛数据包分析attack18.pcapng
12-20
在2022年的中职网络安全国赛省赛中,参赛者们面临了一项极具挑战性的任务——分析"attack18.pcapng"数据包。这个文件是网络流量捕获的一种记录格式,用于保存网络通信过程中的原始数据,它为分析网络行为、检测...
2021年中职网络安全国赛内存取证环境
06-21
【标题】2021年中职网络安全国赛内存取证环境是全国职业院校技能大赛中的一项重要赛事,它聚焦于网络安全领域中的内存取证技术。内存取证是网络安全应急响应和犯罪调查的关键环节,它通过对计算机系统内存(RAM)的...
thinkphp漏洞之sql注入漏洞-builder处漏洞
banliyaoguai的博客
08-09 534
这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用。这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a。看一下他的insert这个函数,数据传输是自己写的值。方法来分析并处理数据。
文件上传-.user.ini利用
最新发布
feiwujiushiwo的博客
08-13 143
php.ini是php的全局配置文件,对整个web服务起作用.user.ini和.htaccess都是目录的配置文件.user.ini是用户自定义的php.in理解为包含文件。
LNMP环境搭建论坛
qq_63652578的博客
08-07 1012
root@Rocky8-node1 ~]# mv upload/* /usr/share/nginx/html/ #把upload下的所有内容移动到/usr/share/nginx/html/[root@Rocky8-node1 ~]# sed -i '/^group =/ c \group = nginx' /etc/php-fpm.d/www.conf #将组改为nginx。
[FSCTF 2023]细狗2.0
2301_81462177的博客
08-09 308
cmd=ls${lFS}-1剁FSS9-后面加个$与{类似,起截断作用,$9是当前系统shel进程第九个参数持有者始终为空字符串。cmd=lsSlFS-l单纯$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名。ca\t/*123*/f* 发现不可以,看题解后发现使用${IFS}绕过。cmd=ls$lFs$9-1 (这里1到9应该都可以)ca\t$IFS/f* 可得flag。尝试输入cat /f*
2022中职国赛网络安全评分标准:服务器安全配置详解
"这篇文档是2022年全国职业院校技能大赛(中职组)网络安全竞赛的评分标准,特别是A模块,涉及Windows和Linux服务器的安全设置与加固。考核内容包括密码策略、用户安全管理、Nginx服务的安全配置以及日志监控等关键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值