文件包含漏洞,任意文件下载/读取,常用敏感文件总结

最新推荐文章于 2024-05-13 05:13:35 发布
最新推荐文章于 2024-05-13 05:13:35 发布
阅读量2.6k 收藏 6
点赞数 1
分类专栏: 技术文章
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/doulicau/article/details/106683724
版权

Windows:

C:\boot.ini //查看系统版本

C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件

C:\Windows\repair\sam //存储系统初次安装的密码

C:\Program Files\mysql\my.ini //Mysql配置

C:\Program Files\mysql\data\mysql\user.MYD //Mysql root

C:\Windows\php.ini //php配置信息

C:\Windows\my.ini //Mysql配置信息

C:\Windows\win.ini //Windows系统的一个基本系统配置文件

Linux:

/root/.ssh/authorized_keys

/root/.ssh/id_rsa

/root/.ssh/id_ras.keystore

/root/.ssh/known_hosts //记录每个访问计算机用户的公钥

/etc/passwd

/etc/shadow

/etc/my.cnf //mysql配置文件

/etc/httpd/conf/httpd.conf //apache配置文件

/root/.bash_history //用户历史命令记录文件

/root/.mysql_history //mysql历史命令记录文件

/proc/mounts //记录系统挂载设备

/porc/config.gz //内核配置文件

/var/lib/mlocate/mlocate.db //全文件路径

/porc/self/cmdline //当前进程的cmdline参数

doulicau
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
任意文件读取 下载漏洞总结_任意文件下载漏洞(1)
m0_60607675的博客
04-09 915
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
ThinkPhp日志文件遍历工具.zip
06-22
如果配置不当,攻击者可以构造特定的URL请求,导致系统读取或写入任意文件,甚至覆盖系统关键文件,从而对服务器造成严重影响。 2. 目录扫描:工具通过自动化的方式,尝试遍历ThinkPhp项目的目录结构,寻找可利用的...
任意文件读取/下载漏洞总结
未完成的歌~的博客
04-01 1万+
任意文件读取/下载漏洞(Arbitrary File Read/Download Vulnerability),是指攻击者可以通过某些漏洞,绕过应用程序的限制,直接读取或下载应用程序之外的文件。这种漏洞通常是由于应用程序没有对用户输入进行充分的验证和过滤而导致的。攻击者可以通过构造恶意的请求来利用该漏洞,从而读取或下载他们本来无权访问的文件,如密码、私钥、证书等,会提供攻击者更多可用信息,提高被入侵的风险。
Windows应急响应 - 敏感目录文件痕迹排查,最近打开的文件 Recent,临时目录Temp,预读取文件Prefetch,程序执行情况Amcache(1)
最新发布
2401_84972814的博客
05-13 705
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
windows文件操作总结
ylh的博客
10-18 874
就像遍历进程和模块一样,我们有一个FindFiirstFile 和 FindNextFile 函数。CreateFile操作比较复杂,在这里举一个简单的例子:往文件写入信息。注意CreateFIle的参数即可,按F1可以查看具体。GetFileSize 获取文件大小。DeleteFile 删除文件。WriteFile 向文件写入。ReadFile 从文件读取。CopyFile 复制文件。MoveFile 移动文件
任意文件读取漏洞-windows敏感文件路径字典fuzz
qq_82303224_的博客
02-25 512
一般情况下读iis配置即可,获取路径,然后再读web.config。命令行执行读: navicat配置连接信息。
系统敏感路径
山兔的博客
08-14 1756
【代码】系统敏感路径。
文件的相关操作
QAxiaoming的博客
09-15 683
1.写入文件 2.读取文件 以数组形式输出 循环输出带有汉字的文件 文件里边写输入文字 读取图片
Owasp Top10 漏洞笔记
08-27
* 修改任意文件 * 安装后门 修复 SQL 注入漏洞的方法包括: 1. 使用参数化查询接口,将用户输入变量嵌入到 SQL 语句中。 2. 对进入数据库的特殊字符进行转义处理,或编码转换。 3. 严格限制变量类型,例如整型变量...
数据安全-各种数据库漏洞
10-10
* 漏洞利用:攻击者可以通过漏洞来执行恶意命令或访问敏感数据。 PostgreSQL 漏洞: PostgreSQL 是一个开源的关系数据库管理系统,常用的端口号是 5432。PostgreSQL 漏洞包括: * 高权限命令执行漏洞:攻击者可以...
1713010552田靖宇-7月27日日志1
08-04
在防御文件包含漏洞文件下载漏洞时,需要严格检查所有输入提交可能可能包含的文件地址,包括服务器本地文件及远程文件,并对可以包含的文件进行限制。同时,需要严格检查include类的文件包含函数中的参数是否外界...
resin-3.1.8
11-10
resin是一款application server。版本:3.1.8
LFISploit:利用lfi +反向外壳+扫描器
04-01
本地文件包含漏洞是一种常见的Web应用程序安全问题,它允许攻击者通过注入恶意代码来读取或包含服务器上的任意文件。LFI通常出现在网站的动态页面中,这些页面允许用户输入URL或其他参数来加载服务器上的特定文件。...
任意文件读取漏洞复现
来日可期的博客
08-31 3207
任意文件上传漏洞指的是攻击者可以通过绕过应用程序的文件上传功能,向服务器上传恶意文件,包括脚本文件、木马程序等,从而执行任意代码或获取系统敏感信息。
后渗透系列之windows文件下载
kukudeshuo的博客
07-11 1426
在遇到目标服务器是windows服务器时,此篇文章能帮到你windows如何在命令行下面下载文件达到反弹shell的效果
网络安全之敏感文件与命令
xlk_a1540775228的博客
07-22 619
windows下的敏感文件路径。WebServer默认文件路径。linux下的敏感文件路径。Web敏感文件.jpg。
Web漏洞-任意文件读取漏洞
Ays.Ie的博客
03-13 2414
该篇记录了Web漏洞-任意文件读取漏洞
任意文件读取下载漏洞
热门推荐
u011215939的博客
12-19 1万+
任意文件读取下载漏洞漏洞原理
windows文件读取 xxe_XXE任意文件读取(当xml解析内容有输出时)
weixin_39629269的博客
12-22 549
利用XXE漏洞读取文件参考:https://www.jianshu.com/p/4fc721398e97首先找到登录源码如下:由题目可以利用XXE漏洞读取文件先登录用Burp Suite抓包:然后构造XXE读取文件语句如下:]>&f;024b87931a03f738fff6693ce0a78c88模板:]>&f;2020/2/1 PHP代...
文件包含技术-常见文件包含
01-24
文件包含漏洞是网络安全中的一个重要问题,它允许攻击者通过恶意利用来执行任意代码或者获取敏感信息。" 在Web开发中,文件包含是一种常用的技术,允许程序动态地加载和执行外部文件。然而,如果不正确地处理文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值