PHP代码审计中,文件操作遇到不存在的目录…

最新推荐文章于 2024-08-08 18:03:40 发布
最新推荐文章于 2024-08-08 18:03:40 发布
阅读量84 收藏
点赞数
文章标签: go js linux laravel javascript
原文链接:https://t.zsxq.com/3rvfia2
版权

本文来自于『代码审计知识星球』2016年11月帖子

https://t.zsxq.com/3rvfia2

前情提要,有同学提到如下特性:

说到file_exists,我就想到一个更有意思的问题:

这个问题在很多真实场景下都遇到过,大家也展开了讨论。

当file_exists对/tmp/dont_exists/../../etc/passwd这样的文件名进行判断时,会返回true还是false?

答案如下:

在Windows下,遇到不存在的目录,只需要向上跳转,跳转到已存在的目录下,file_exists就可以返回true;而在Linux下,在遇到第一个不存在的目录时,file_exists就会返回false。

这个特性导致很多畸形文件名导致的漏洞在Linux下无法被利用,很可惜。

当然,也有小伙伴提到了一些对这个特性的深入研究:

分享出来:

https://git.kernel.org/pub/scm/linux/kernel/git/vfs/vfs.git/tree/Documentation/filesystems/path-lookup.txt

https://docs.microsoft.com/en-us/windows/win32/fileio/naming-a-file

点击下方“阅读原文”查看这个原始帖子☺

落沐萧萧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
thinkphp 上传文件目录不存在的解决办法
u010031212的博客
05-31 1540
做一个文档上传的demo 但是碰到这个情况 代码部分是$upload->savePath =  '__Public__/Uploads/';// 设置附件上传目录 最后百度,终于调通,代码部分$upload->savePath =  './../Public/Uploads/';// 设置附件上传目录 路径的设置视自己的拓展文件夹的位置而定
php帮助文档无法打开,PHP - 无法打开流:没有这样的文件目录
weixin_35665083的博客
03-09 437
有很多原因导致人们可能遇到这个错误,因此一个好的检查列表首先要检查的内容有很大帮助。让我们考虑一下我们正在对以下行进行故障排除:require"/path/to/file"清单1.检查拼写错误的文件路径手动检查(通过目视检查路径)或移动任何被其调用require*或调用include*其自己的变量,回显它,复制它,并尝试从终端访问它:$path="/path/to/file";echo"P...
new file文件不存在_PHP代码审计文件操作遇到不存在目录
weixin_29800319的博客
01-26 263
本文来自于『代码审计知识星球』2016年11月帖子https://t.zsxq.com/3rvfia2前情提要,有同学提到如下特性:说到file_exists,我就想到一个更有意思的问题:这个问题在很多真实场景下都遇到过,大家也展开了讨论。当file_exists对/tmp/dont_exists/../../etc/passwd这样的文件名进行判断时,会返回true还是false?答案...
php 找不到文件目录_提示找不到文件
weixin_42393198的博客
03-08 1058
源自:3-13 PHP第一种特殊类型—资源提示找不到文件PHP入门篇-【3-13】PHP第一种特殊类型-资源【尝试1】我在本地网站根目录放了一个f.txt文件,任务代码如下$file_handle=fopen("http://localhost/f.txt","r");报错找不到文件,提示信息:Fatal error: Uncaught exception 'Yaf_Exception_Lo...
PHP代码审计分段讲解.zip
08-04
"PHP代码审计分段讲解.zip"这个压缩包文件显然是为了帮助开发者理解和识别PHP代码的常见漏洞,并提供了详细的解释。下面我们将深入探讨PHP编程可能遇到的一些关键知识点。 1. SQL注入:SQL注入是PHP应用程序...
记一次SEMCMS代码审计1
08-03
审计过程使用了Seay源代码审计系统,这是一个帮助开发者检查PHP代码安全性的工具。 首先,审计发现系统对SQL注入的防范措施主要集在`/Include/contorl.php`文件的`verify_str()`函数,该函数会调用`inject_...
php 文件管理系统
05-22
- 日志系统记录操作行为,便于追踪问题和审计。 7. **用户体验** - 实现拖放上传、多选文件操作等功能,提升交互体验。 - 优化前端性能,如使用懒加载技术只加载可视区域内的文件列表。 总结来说,一个完善的...
解决php5.5不兼容问题
11-30
总之,解决PHP版本不兼容问题需要对PHP5.5的新特性和变化有深入理解,同时,通过代码审计、错误处理和依赖升级等方式逐步修正问题。在实际操作过程,应始终备份原始代码,保持良好的版本控制,以便在出现问题时...
phpstudy php5.2.17nts版本
09-29
对于仍需维护的老项目,定期进行安全审计和代码升级计划是必要的。 总的来说,PHPStudyPHP5.2.17 NTS版本为开发者提供了一种便捷的方式来运行和调试基于该版本的PHP应用。然而,使用旧版本的PHP时,开发者应当...
php 路径 函数不存在,php目录不存在是怎么判断的
weixin_31969181的博客
03-09 263
php目录不存在的判断方法:首先创建一个PHP示例文件;然后输入判断语句为“bool file_exists (string $filename)”;最后在浏览器执行该文件即可判断目录是否存在。php判断目录是否存在file_exists — 检查文件目录存在说明bool file_exists ( string $filename )检查文件目录是否存在。参数filename文件...
php 找不到文件目录_php找不到临时文件的原因
weixin_33623134的博客
03-08 321
最近遇到这样的麻烦,找不到临时文件夹返回的错误代码为6错误原因:一、配置文件没有设置临时文件夹 (推荐学习:PHP视频教程)二、临时文件夹没有或者上级文件夹没有相应的权限处理方式:找到PHP配置文件PHP.ini,找到以下代码;upload_tmp_dir =改为:upload_tmp_dir = "C:/Windows/Temp" //后面的文件夹路径根据您的系统来设置如果是权限不够的情况,...
php 目录不存在就创建_php如何判断文件夹是否存在,不存在则创建
weixin_34710938的博客
03-09 1241
php如何判断文件夹是否存在,不存在则创建php判断文件夹是否存在,不存在则创建的实现方法:首先创建一个PHP示例文件;然后定义一个mkdirs方法;最后通过“mkdirs("aa01");”方式判断文件夹并创建即可。推荐:《PHP视频教程》php判断文件夹是否存在不存在则创建代码如下:function mkdirs($dir, $mode = 0777){if (is_dir($dir) || ...
php 文件夹是否存在,不存在就创建(已通过尝试)
编程算啥事(公总号)的博客
01-06 1179
php 文件夹是否存在,不存在就创建 $lujing = "./nihao/wohao"; if(!is_dir($liujing)){ mkdir(iconv("UTF-8", "GBK", $lujing),0777,true); } 分割线 分享个vue学习的教程 本人亲自维护的接口 非常适合vue零基础或者刚入门vue的小白学习。 资源包括源码、视频、接口文档,从...
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1501
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
如何解码Linux下事件响应工具evtest的时间戳
最新发布
weixin_44199156的博客
08-08 337
这里放一下原文链接在开发input子系统驱动时,常常会使用evtest工具进行测试。evtest是打印evdev内核事件的工具,它直接从内核设备读取并打印设备描述的带有值和符号名的事件,可以用来调试鼠标、键盘、触摸板等输入设备evtest通常用于在X.org调试输入设备的问题,evtest提供了内核的处理信息。根据这些信息,可以判断是内核问题还是X.org问题。输出数据,“type”是input类型,可以是“EV KEY”、“EV SW”、“EV SND”、“EV LED”或数值;
Linux宏观的看待线程
2301_77479435的博客
08-07 411
Linux宏观的看待线程
Linux 从基础到进阶】进程管理与性能调优
weixin_39372311的博客
08-08 428
通过本文的介绍,您已经了解了 Linux 系统进程管理和性能调优的基本概念和操作方法。本文提供了适用于 CentOS 和 Ubuntu 系统的具体命令和示例,涵盖了 CPU、内存、I/O 和网络的性能调优策略。合理的进程管理和性能调优可以显著提升系统的稳定性和运行效率。如有任何问题或需要进一步的帮助,请参考CentOS 官方文档和Ubuntu 官方文档或在 CSDN 博客查阅相关内容。
PHP代码审计文件包含漏洞详解与利用工具
"本文介绍了PHP代码审计的一个常见安全问题——文件包含漏洞,特别是针对本地文件包含的几种利用方式,包括%00截断、路径长度截断和点号截断,并提供了相关漏洞利用工具和常见文件路径。" 在PHP编程文件包含...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值