文件包含基础

于 2023-07-05 10:29:27 发布
阅读量246 收藏
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzy2003/article/details/131550106
版权

实验目的

通过本实验,理解文件包含的基本方法及文件包含需要注意的问题,为熟练掌握文件包含方法及防御奠定基础。

实验环境

操作机:kali
靶机:Windows
实验地址:http://靶机ip/exp/include/include1.php
用户名:college
密码:360College

实验原理

文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。

实验步骤

1、启动phpstudy,版本选择php5.4.45;

请添加图片描述
请添加图片描述

2、kali访问http://靶机ip/exp/include/include1.php,构造page参数,分别查看flag1.txt、flag2.txt、flag3.txt。

包含同目录下的文件

直接包含flag1.txt:
(1)?page=flag1.txt
请添加图片描述

目录遍历

./表示当前目录,…/表示上一级目录,这样的遍历目录来读取文件。直接包含flag2.txt发现找不到被包含的flag2.txt文件,回上一级寻找:
(2)?page=../flag2.txt
请添加图片描述
(3)?page=../../flag3.txt

请添加图片描述

实验总结

掌握文件包含漏洞原理以及基本方法

LOST P
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DC-1靶机渗透
weixin_62485906的博客
06-23 1264
关于kali渗透DC-1靶机
Kali渗透测试之DVWA系列9——File Inclusion(文件包含)
浅浅的博客
06-14 2491
目录 一、文件包含 二、实验环境 三、实验步骤 Windows 安全等级:LOW 安全等级:Medium 安全等级:High 安全等级:Impossible Linux 安全等级:LOW 安全等级:Medium 安全等级:High 一、文件包含 1、文件包含原理 文件包含:开发人员将相同的函数写入单独的文...
靶机渗透实战——SickOs1.2
wlw876747595的博客
12-17 835
一、实验环境 靶机:SickOs1.2,IP地址暂时未知 测试机:KaliIP:192.168.232.130) 测试机:物理机win7 二、实验流程 信息收集——主机发现 信息收集——端口扫描 渗透测试 三、实验步骤 (一)信息收集——主机发现 1、查看kaliIP信息 2、查看靶机页面 3、扫描主机(netdiscover) netdiscover -i e...
文件包含漏洞(原理及介绍)
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
12-08 5676
File inclusion,文件包含(漏洞)。程序开发人员通常出于灵活性的考虑,会将被包含的文件设置成变量,然后动态调用这些文件。但正是因为调用的灵活性导致用户可能调用一些恶意文件,造成文件包含漏洞。文件包含漏洞分为本地文件包含漏洞和远程文件包含漏洞.
查看Linux 、Apache 、 MySQL 、 PHP 版本的方法
热门推荐
fanxiangdaili的博客
08-07 5万+
1. 查看linux的内核版本,系统信息,常用的有三种办法: uname -a;   more /etc/issue;    cat /proc/version; 2. 查看apache的版本信息 如果是通过yum,或者是rpm安装的,可以使用rpm -qa |gerp httpd 来查看; 还可以通过httpd -v来查询; 当然,安装好
Hololens2基础开发工程文件
02-01
HoloLens2基础开发的工程文件,包含手势,语音,空间映射等功能。
第12章 python文件存取和异常处理-python基础,快速入门.pptx
12-12
python文件存取和异常处理_python基础,快速入门.pptx, python对文件的处理,包括文件读取,文件写入,python异常的处理,自定义异常,常见异常汇总等
Python 专题四 文件基础知识
09-21
本文主要讲述了Python文件基础知识,包括文件的打开、读写、关闭操作、使用循环读写文件及迭代器的知识。具有很好的参考价值。下面跟着小编一起来看下吧
jQuery基础文件
03-30
包括1.11.3,2.1.4,3.3.1版本,一块打包下载,不用去另外找了。
Python基础练习文件源码.rar
04-23
Python基础练习文件源码,里面有py文件,代码注释等等 大概有 Break退出循环语句 continue跳过本次循环继续下次循环 count计算次数 def自定义函数 Dic字典 difference差异对比 Do----While循环语句 Find查找函数 ...
linux怎么查看php版本,linux如何查看版本
weixin_36280492的博客
03-10 1816
1、# uname -a (Linux查看版本当前操作系统内核信息) (推荐学习:linux教程)[hadoop@admin01 ~]$ uname -aLinux admin01 2.6.32-358.el6.x86_64 #1 SMP Fri Feb 22 00:31:26 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux2、# cat /proc/v...
Kali安装php7.4+mysql的安装
cj_Hydra's Blog
11-16 2842
前言: php是世界上最好的语言,可是在kali中如何安装呢? 其实在默认的2020版本kali里面已经集成了php7.3,只需要运行apt-get install php7.3即可对php7.3的安装。 那么如何安装php7.4呢? 添加源: 首先在 etc/apt/下新建一个文件夹 trusted.gpg.d sudo apt -y install lsb-release apt-transport-https ca-certificates sudo wget -O /etc/apt/truste
kali下练习php
平凡
02-27 1万+
1.php环境的搭建 其实kaliphp早已为你准备好了 man php 可以查看帮助 你可以建立一个php文件,然后在命令行下进行测试。 比如php -f 1.php  这样php文件就能在命令行下运行。 不过很少有人这样做 ,我们要在浏览器中运行。 2.php的配置(此布可以省略) 找到 php.ini你可以根据你的需要进行编辑。 这个是上传文件的限制。 把
Kali linux 学习笔记(四十七)Web渗透——漏洞挖掘之目录遍历和文件包含 2020.3.24
闵行小鱼塘
03-24 904
本节学习目录遍历和文件包含的漏洞
配环境是最难的:环境的大头:Linux(Kali) + Nginx + Apache + PHP
hanshou101的博客
09-28 7748
1.踩了几十个坑。 2.希望后的希望,希望后的绝望,绝望后的反抗,绝望后的希望。
linux 查看 PHP 的默认版本
weixin_30919429的博客
09-29 565
命令 env env:显示当前用户的环境变量; which php 转载于:https://www.cnblogs.com/hpze2000/p/3345316.html
分布式文件系统基础模型
最新发布
06-08
分布式文件系统的基础模型包括: 1. 文件系统客户端:用户通过文件系统客户端访问分布式文件系统中的文件和目录。 2. 文件系统服务器:文件系统服务器是分布式文件系统的核心,负责管理文件和目录,处理客户端的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值