DVWA关卡4:File Inclusion(文件包含漏洞)

最新推荐文章于 2024-08-08 14:27:11 发布
最新推荐文章于 2024-08-08 14:27:11 发布
阅读量904 收藏
点赞数
分类专栏: DVWA渗透测试靶场 文章标签: 网络安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54899775/article/details/121758665
版权
本文详细介绍了DVWA中的File Inclusion漏洞,包括Low、Medium、High和Impossible四个级别。低级别中,由于未过滤文件包含,导致可读取或写入任意文件;中级别虽有限制,但仍然可通过特定方式绕过;高级别添加了文件名限制,但仍能利用file协议读取;Impossible级别采用白名单防御,彻底避免了文件包含漏洞。
摘要由CSDN通过智能技术生成

目录

Low

Medium

High

Impossible

File Inclusion,意思是文件包含(漏洞),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞,远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项(选项开启之后,服务器允许包含一个远程的文件)。

Low

源码:

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

?>

可以看到,low级别的代码对包含的文件没有进行任何的过滤,这导致我们可以进行包含任意的文件。

当我们包含一个不存在的文件 aaa.php ,看看会发生什么情况!

http://127.0.0.1/vulnerabilities/fi/?page=aaa.php

可以看到,发生了报错,并且把网站的路径都给暴露出来了。

最低0.47元/天 解锁文章
景天zy
关注
专栏目录
File Inclusion--文件包含漏洞
qq_17762247的博客
05-27 759
一、简介 为了提高代码的复用性,开发人员往往将业务功能封装成模块放入一个文件中,需要的时候包含对应的文件即可。如果包含者为对被包含的文件进行检查,那么很有可能造成灾难性的后果。 File Inclusion分为LFI(Local File Inclusion,本地文件包含)和RFI(Remote File Inclusion,远程文件包含),LFI指使用文件包含函数包含执行本地(Web应用所在主机)文件,利用LFI可以查看系统任意文件内容,如果具备一些条件,也可以执行命令;RFI需要一定的条件,以PHP应用
DVWA关卡5:File Upload(文件上传漏洞
m0_54899775的博客
12-07 1373
DVWA关卡5:File Upload(文件上传漏洞
File Inclusion文件包含漏洞
陌茗228.的博客
04-11 219
File Inclusion: 当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件 文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞,远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项(选项开启之后,服务器允许包含一个远程的文件)。 Low: 源代码: <?php // The page we wish to
28_文件包含漏洞、本地文件包含、远程文件包含文件包含漏洞防御措施
最新发布
weixin_54591045的博客
08-08 670
File Inclusion(文件包含漏洞)概述文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。比如 在PHP中,提供了:这些文件包含函数,这些函数在代码设计中被经常使用到。大多数情况下,文件包含函数中包含的代码文件是固定的,因此也不会出现安全问题。但是,有些时候,文件包含的代码文件被写成了一个变量,且这个变量可以由前端用户传进来,这种情况下,如果没有做足够的安全考虑,则可能会引发文件包含漏洞
P11 PikaChu_File Inclusion(文件包含漏洞)
在下小黄的博客
03-28 1738
大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!! 今天更新的是: P11 PikaChu_File Inclusion(文件包含漏洞) 往期检索:程序设计学习笔记——目录 创建时间:2021年3月27日 软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器 File Inclusion 文件包含漏洞前言:一、File Inclusion(local)漏洞分析尝试爆破一下隐藏文件尝试读取系统文件尝试结合文件上传getshell二、File I
文件包含漏洞File Inclusion
Ethan024的博客
04-07 343
什么是文件包含文件包含是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如将一系列功能函数都写进function.php中,之后当某个文件需要调用的时候,就直接在文件头中写上一句<?php include function.php>就可以调用函数代码。 什么是文件包含漏洞: 由于网站功能需求,会让前端用户选择需要上传的文件(或者在前端的功能中使用“包含”功能)。又由于开发人员没有对包含的这个文件进行安全考虑,就导致攻
文件包含漏洞(File Inclusion)
diaomuxun8392的博客
08-21 385
简介 执行PHP文件时,可以通过文件包含函数加载另一个文件,当服务器开启allow_url_include选项时,就可以通过php的某些特性函数,利用url去动态包含文件并解析执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页...
DVWA 实验报告:4、文件包含 File Inclusion
看那白熊
05-15 929
DVWA 文件包含漏洞复现
DVWA V1.9:File Inclusion文件包含
qq_43233085的博客
01-24 546
DVWA V1.9:File Inclusion文件包含File Inclusion 介绍Low 级别核心代码官方提示漏洞利用Medium 级别核心代码官方提示漏洞利用High 级别核心代码官方提示漏洞利用Impossible 级别核心代码官方提示 File Inclusion 介绍 一些Web应用程序允许用户指定直接用于文件流的输入,或者允许用户将文件上载到服务器。 在稍后的时间,Web应用...
Dvwa练习04 File Inclusion文件包含
coco3105的博客
02-09 1318
本地文件包含,远程文件包含,文件读取及代码执行
DVWA关卡13:JavaScript Attacks(前端攻击)
m0_54899775的博客
12-13 1976
JavaScript Attacks(前端攻击)
DVWAFile Inclusion文件包含漏洞)通关教程
weixin_30527551的博客
07-28 525
日期:2019-07-28 20:58:29 更新: 作者:Bay0net 介绍: 0x01、 漏洞介绍 文件包含时,不管包含的文件是什么类型,都会优先尝试当作 php 文件执行。 如果文件内容有 php 代码,则会执行 php 代码并返回代码执行的结果。 如果文件内容没有 php 代码,则把文件内容打印出来。 0x02、Low Security Level 查看...
【工具-DVWADVWA渗透系列四:File Inclusion
qqchaozai的专栏
10-22 2595
前言 DVWA安装使用介绍,见:【工具-DVWADVWA的安装和使用 本渗透系列包含最新DVWA的14个渗透测试样例: 1.Brute Force(暴力破解)2.Command Injection(命令注入)3.CSRF(跨站请求伪造)4.File Inclusion文件包含)5.File Uploa...
DVWA(四)-File Inclusion(文件包含)
qq_42785117的博客
07-24 166
文件包含: 允许攻击者包含文件,通常利用目标应用程序中实现的“动态文件包含”机制。由于在没有正确验证的情况下使用用户提供的输入而发生此漏洞。 环境: 使用物理机(win10 x64)访问搭建了DVWA的虚拟机(win7 x86) 问题: 在文件包含模块上提示PHP函数allow_url_include未启用。 解决: 在配置文件中修改Off为on,重启服务. Low Low源码 <...
DVWA---文件包含漏洞(亲测哦)
weixin_44034479的博客
07-07 940
Weak Session IDs 原理: 用户登陆后,在服务器端就会创建一个会话(Session),接着访问页面的时候就不用登陆,只需要携带Session去访问。SessionID作为特定用户访问站点所需的唯一内容。这样会被猜出来,从而获取访问权限,无需登录密码直接进入特定用户界面,进而进行其他操作。 低级 步骤 代码分析 用户的 last_session_id 不存在就设为 0,存在就直接在原来的基础上加1。容易被人伪造,而且不能保证每个人的session是不一样的,容易造成冲突。 低级别只是将co
pikachu漏洞平台学习笔记6_File Inclusion
qq_38933307的博客
04-01 263
1.概述 文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在PHP中,提供了: include(),include_once() require(),require_once() 这些文件包含函数,这些函数在代码设计中被经常使用到。 大多数情况下,文件包含函数中包含的代码文件是固定的,因此也不会出现安全问题。 但是,有些时候,文件包含的代码文件被写成了一个变量,且这个变量可以由前端用户传进来,这种情况下,如果没
Web渗透:文件包含漏洞(part.1)
WolvenSec的博客
06-27 1512
"文件包含漏洞"(File Inclusion Vulnerability)是一种常见的Web应用程序漏洞,攻击者可以通过这个漏洞在目标系统上包含或执行任意文件。:攻击者利用LFI漏洞可以包含并执行服务器上的本地文件,攻击者可以读取系统上的敏感文件,甚至可能执行代码。:攻击者利用RFI漏洞可以从远程服务器上包含并执行文件,这通常用于注入恶意代码,以便获取目标系统的控制权。
文件包含漏洞(原理及介绍)
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
12-08 6195
File inclusion文件包含漏洞)。程序开发人员通常出于灵活性的考虑,会将被包含的文件设置成变量,然后动态调用这些文件。但正是因为调用的灵活性导致用户可能调用一些恶意文件,造成文件包含漏洞文件包含漏洞分为本地文件包含漏洞和远程文件包含漏洞.
dvwa第四题:command Injection
yuqangy的专栏
02-12 281
当一个功能程序需要执行系统命令(system(),exec()),而且提供了用户输入入口时,则可能存在命令行输入。 命令行注入可用于通过主机操作系统上的易受攻击程序来执行任意命令。命令行注入是可行的,当应用程序拿到一个用户数据并没有对它做安全性检查(比如表单,cookies,http头信息)到system shell,攻击方通过一个具有高级别权限的应用程序来运行系统命令,命令注入攻击可能很...
DVWA安全实验:文件上传与包含漏洞分析
"网络安全实验,涉及文件上传与文件包含漏洞,使用DVWA测试环境,通过Kali Linux进行攻击机操作。" 在网络安全领域,文件上传与文件包含是两种常见的Web应用程序安全漏洞,它们允许攻击者利用系统弱点来执行恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值