DVWA使用教程(File Inclusion)(四)

最新推荐文章于 2024-05-11 02:04:57 发布
最新推荐文章于 2024-05-11 02:04:57 发布
阅读量6.6k 收藏 9
点赞数 2
分类专栏: DVWA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ai_64/article/details/92411131
版权

DVWA使用教程(File Inclusion)(四)

 

DVWA是一个用来练习Web渗透的PHP应用。共有十个模块,分别是
1.Brute Force(爆破)
2.Command Injection(命令注入)
3.CSRF(跨站请求伪造)
4.File Inclusion(文件包含)
5.File Uplod(文件上传)
6.Insecure CAPTCHA(不安全的验证码)
7.SQL Inj(SQL注入)
8.SQL B Inj(SQL盲注)
9.XSS-ref(反射型xss)
10.xss-stored(存储型xss)

一、    简介
文件包含漏洞是一种常见的漏洞。利用这个漏洞去包含危险文件,危险文件中有危险函数。
如此一来会造成信息泄露和恶意代码执行。 

二、    功能特点
文件包含功能使用include函数将web根目录以外的目录文件包含进来,文件包含功能给开发人员带来了便利。通过把常用的功能归类成文件,文件包含可以提高代码重用率。
文件包含漏洞是高危漏洞,往往会导致任意文件读取和任意命令执行,造成严重的安全后果。
文件包含往往要使用到目录遍历工具 

三、    各防护等级简介
low等级,对文件包含行为毫无设防。
medium等级,对文件包含行为防护不足,防护做法欠考虑。
hight等级,对文件包含行为有一定防护,但有疏忽。
impossible等级,对文件包含行为正确防护。

四、基础知识补充

1.文件包含分类:
LFI:本地文件包含(Local File Inclusion) 
RFI:远程文件包含(Remote File Inclusion)

2.相关的 php.ini 配置参数:
allow_url_fopen = on (默认开启) 
allow_url_include = on (默认关闭)

3.远程文件包含是因为开启了 php 配置中的 allow_url_fopen 选项(选项开启之后,服务器允许包含一个远程的文件)。

4.与文件包含有关的函数:
include():只有代码执行到该函数时才会包含文件进来,发生错误时只给出一个警告并继续向下执行。
include_once():和 include()功能相同,区别在于当重复调用同一文件时,程序只调用一次。
require():只要程序执行就

最低0.47元/天 解锁文章
ai_64
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA下载、安装、使用(漏洞测试环境搭建)教程
星如雨落
10-27 4万+
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 一共有十个模块: 暴力(破解)、命令行注入、跨站请求伪造、文件包含、文件上传、不安全的验证码、SQL注入、SQL盲注、弱会话ID、XSS漏洞(DOM型跨站脚本、反射型跨站脚本、 存储型跨站脚本) 环境搭建 由于是本地搭建真实web漏洞网站,我就以Windows
DVWA靶场——File Inclusion(文件包含漏洞)
qq_74806534的博客
01-18 6219
程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需再次编写,这种调用文件的过程一般被称为文件包含。File Inclusion,文件包含(漏洞),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。
2024年最全AWVS安装使用教程_awvslicense,2024年最新就是这么简单
最新发布
2401_84281648的博客
05-11 394
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
2.File Inclusion配置dvwa——小白笔记——文件包含漏洞
qwsn
11-11 1573
0x01: 1.进入dvwaFile Inclusion模块,查看 //发现The PHP function allow_url_include is not enabled. 2.启用allow_url_include,php.ini配置文件修改 ①在Linux下,vim /etc/php/7.0/apache2/php.ini 配置完成后,重启apache ②在windows下,修改p...
Pickachu第六弹:File Inclusion(文件包含漏洞)
Pisces_mango的博客
09-03 507
目录 一、File Inclusion(local) ​二、File Inclusion(remote) 一、File Inclusion(local) 1.选择一个选项 2.在url中输入../../../../../../../etc/passwd可以读取文件 二、File Inclusion(remote) 可以搭恶意站点,在上面放一个恶意代码上,然后把路径从前端传到后台,后台包含函数会对远程的路径进行加载,可以对目标站点进行远程控制 1.创建恶意代码放在目录下 2.
文件包含漏洞2_远程
CHUNJIUJUN的博客
08-13 160
我们将远程主机的1.txt文件传到了该主机,如果1.txt换成一句话木马,那么就可以连蚁剑了 远程文件包含漏洞的危害
Web漏洞实战教程(DVWA使用)
12-30
3.4 FILE INCLUSION 33 3.4.1 漏洞介绍 33 3.4.2 攻击实战 33 3.4.3 PHP源代码 33 3.5 SQL INJECTION 34 3.5.1 漏洞介绍 34 3.5.2 攻击实战 34 3.5.3 PHP源代码 39 3.6 SQL INJECTION(BLIND) 39 3.6.1 漏洞介绍 39 ...
DVWA最新版
03-23
DVWA的"File Inclusion"部分让你了解这类漏洞的危害,学习如何设置严格的文件验证规则以避免此类风险。 命令注入是指攻击者能够注入操作系统命令到应用程序,从而执行恶意操作。在"Command Injection"模块中,你将...
DVWA配置二所需压缩包
11-09
- **vulnerabilities** - 存放各个漏洞模块的目录,如`sql_injection`, `command_injection`, `xss`, `file_inclusion`等。 - **index.php** - 入口文件,负责加载和处理请求。 2. **安装过程** - 在Win10 64位...
DVWA-master.zip
06-09
3. **文件包含漏洞**:"File Inclusion"挑战让你理解如何利用程序错误,将外部文件内容插入到网页中。这可能导致服务器上的敏感信息泄露,甚至允许攻击者远程执行代码。 4. **命令注入**:DVWA的"Command Injection...
DVWA练习平台
04-24
4. **文件包含漏洞(File Inclusion)**:此漏洞允许攻击者通过改变包含文件的路径,引入恶意代码或数据。DVWA的文件包含练习能让你理解如何防止这种情况,如使用绝对路径,禁止远程文件包含,以及限制可包含的文件...
新手指南:DVWA 1.9 全级别教程
01-03
新手指南:DVWA 1.9 全级别教程
渗透测试之文件包含漏洞
weixin_45380284的博客
03-06 879
文件包含漏洞: 理论: 文件包含: 编写程序时把重复使用的函数写到单个文件中,在使用这些函数的时候,直接调用此文件,就无需再次编写,这种调用文件的过程叫做包含 文件包含漏洞: 开发人员希望代码更加灵活,所以会将被包含的文件设置为变量,用来动态调用。 文件包含漏洞产生的原因就是函数通过变量引入文件时,没有对传入的文件名进行合理的校验,从而操作了预想之外的文件,这样就导致了意外的文件泄露甚至恶意代码注入。 文件包含函数: PHP中提供文件包含的函数: include() 找不到被包含的文件时只产生警告 inc
php mv file,VWar <= v1.5.0 R15 (mvcw.php) Remote File Inclusion Vulnerability
weixin_32691939的博客
03-23 214
\#'#/(-.-)--------------------oOO---(_)---OOo--------------------|VWar<=v1.5.0R15(mvcw.php)RemoteFileInclusion||...
DVWA —— File Inclusion 文件包含
YouTheFreedom的博客
05-22 1459
web 程序中引入一段用户能控制的脚本或代码,并让服务器端执行 include() 等函数通过动态变量的方式引入需要包含的文件,用户能够控制该动态变量,实现本地文件包含或者远程文件包含
DVWA部分教程
m0_72898152的博客
03-18 669
dvwa
DVWA靶场教程
热门推荐
wxh的博客
01-15 2万+
Burt Force(暴力破解)
DVWA file inclusion 出错 allow_url_fopen=0
devil8123665的博客
06-12 3696
DVWA平台中测试文件包含是出现错误信息include(): http:// wrapper is disabled in the server configuration by allow_url_fopen=0,原因是设置allow_url_open 与allow_url_include 位置不对,在C:\xampp\htdocs\DVWA\php.ini文件中都设置为on并不会起作用,需要...
dvwa file inclusionfile upload
05-12
其中包括文件包含(File Inclusion)和文件上传(File Upload)两种漏洞。 文件包含漏洞是指Web应用程序未对用户输入的文件路径进行充分验证,导致攻击者能够构造恶意的文件路径来读取、执行或删除服务器上的敏感...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值