DVWA系列---File Inclusion 文件包含漏洞

最新推荐文章于 2022-12-08 12:57:25 发布
最新推荐文章于 2022-12-08 12:57:25 发布
阅读量529 收藏
点赞数 1
分类专栏: # DVWA 文章标签: 文件包含 安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43968080/article/details/104094156
版权
本文详细介绍了DVWA中的文件包含漏洞,从Low、Medium、High到Impossible四个级别,分析了漏洞原理、防御措施以及各种绕过方法,包括利用File协议访问本地和远程文件,通过大小写混用和截断拼接路径进行攻击。
摘要由CSDN通过智能技术生成

文章目录

前言

文件包含:

文件包含是指为了提高开发效率,将不同功能写入到单独文件中,在需要使用该功能时,将相应的文件导入即可。

常见的文件包含函数:

  • require:找不到被包含的文件,报错,并且停止运行脚本。
    include:找不到被包含的文件,只会报错,但会继续运行脚本。
    require_once:与require类似,区别在于当重复调用同一文件时,程序只调用一次。
    include_once:与include类似,区别在于当重复调用同一文件时,程序只调用一次。

文件包含漏洞:

之所以会形成该漏洞,是由于开发人员在设计导入文件时,未对导入的文件做严格检查,导致用户自行指定导入的文件,尤其是指定一些恶意文件,对服务器造成破坏,这就是文件包含漏洞。

防御:

由于文件包含漏洞时由于在导入文件时,没有做细致过滤,因此,防御该攻击的方法,还是应该从服务器入手,对导入的文件做认真检查过滤,防止用户注入恶意文件。

一、Low

1、演示
打开DVWA文件包含靶场页面,发现URL包含了index.php,分别点击三个文件,URL中的page则分别为相应的文件
在这里插入图片描述
在桌面创建一个 1.txt 文件,内容为 查看php信息的php语句:

<?php phpinfo(); ?>

利用访问本地文件的 File 协议,将page的值改为 1.txt 的绝对路径:

file://C:\users\13714\Desktop\1.txt

回车发现已经成功访问并解析该

最低0.47元/天 解锁文章
KB-野原新之助
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
File Inclusion--文件包含漏洞
qq_17762247的博客
05-27 742
一、简介 为了提高代码的复用性,开发人员往往将业务功能封装成模块放入一个文件中,需要的时候包含对应的文件即可。如果包含者为对被包含的文件进行检查,那么很有可能造成灾难性的后果。 File Inclusion分为LFI(Local File Inclusion,本地文件包含)和RFI(Remote File Inclusion,远程文件包含),LFI指使用文件包含函数包含执行本地(Web应用所在主机)文件,利用LFI可以查看系统任意文件内容,如果具备一些条件,也可以执行命令;RFI需要一定的条件,以PHP应用
File Inclusion漏洞
qq_45106794的博客
11-04 436
File Inclusion 文件包含漏洞,是指服务器开启allow_url_include=on时,就可以通过php语言的某些特性函数(比如require()、include()等等)利用url去包含文件,此时如果没有对文件来源进行审查,就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞 远程文件包含漏洞是由于allow_url_fopen=on(开启时),...
DVWA系列之14 文件包含漏洞分析
weixin_34357928的博客
12-15 179
程序开发人员通常会把可重复使用的函数写入到单个文件中,在使用某些函数时,直接调用此文件,而无需再次编写,这种调用文件的过程一般被称为包含。程序开发人员都希望代码更加灵活,所以通常会将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞PHP中提供了四个文件包含的函数,分别是include()、include_once()、requi...
文件包含漏洞(File Inclusion)
diaomuxun8392的博客
08-21 380
简介 执行PHP文件时,可以通过文件包含函数加载另一个文件,当服务器开启allow_url_include选项时,就可以通过php的某些特性函数,利用url去动态包含文件并解析执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页...
文件包含漏洞File Inclusion
Ethan024的博客
04-07 335
什么是文件包含文件包含是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如将一系列功能函数都写进function.php中,之后当某个文件需要调用的时候,就直接在文件头中写上一句<?php include function.php>就可以调用函数代码。 什么是文件包含漏洞: 由于网站功能需求,会让前端用户选择需要上传的文件(或者在前端的功能中使用“包含”功能)。又由于开发人员没有对包含的这个文件进行安全考虑,就导致攻
DVWA--- 四、文件包含(File Inclusion)
qq_43168364的博客
05-31 528
sh
DVWA--File Inclusion(文件包含)(全难度)
wwxxee
02-20 276
DVWAFile Inclusion(文件包含) 原理参考:网络安全笔记-99-渗透-文件包含 逻辑 page参数的值不同,包含的文件不同。 难度分级 Low 核心代码 分析: 该级别没有对参数进行任何过滤。 利用 包含本地文件: http://192.168.17.141/DVWA/vulnerabilities/fi/?page=C:\Windows\System32\drivers\etc\hosts 本地文件包含目录穿越: http://192.168.17.141/DVWA/vulnera
DVWA-----------File Inclusion
haha1314的博客
05-19 439
文件包含漏洞 开发人员将相同的函数写入单独的文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程称文件包含; 开发人员为了使代码更灵活,会将被包含的文件设置为变量,用来进行动态调用,从而导致客户端可以恶意调用一个恶意文件,造成文件包含漏洞;在PHP中经常出现文件包含漏洞; 常用函数 include():找不到被包含文件,报错,但会继续运行脚本; include_once():...
文件包含漏洞DVWA-File Inclusion
weixin_41487522的博客
06-30 378
文件包含漏洞 什么是文件包含漏洞? 攻击者利用包含的特性,加上应用本身对文件(包含)控制不严格,最终造成攻击者进行任意文件包含。 (包含的文件会被当做脚本文件来解析) 一句话来说就是:文件包含并不属于漏洞,但是,由于对包含进来的文件不可控,导致了文件包含漏洞的产生。 包含文件很有用,可以简化代码 文件包含分为本地和远程文件包含(需要allow_url_include=On) 本地文件包含LFI 远程文件包含RFI 函数解析 这里我们需要了解4个PHP的函数 include:使用include引用外部文件时,
File Inclusion文件包含漏洞
陌茗228.的博客
04-11 210
File Inclusion: 当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件 文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞,远程文件包含漏洞是因为开启了php配置中的allow_url_fopen选项(选项开启之后,服务器允许包含一个远程的文件)。 Low: 源代码: <?php // The page we wish to
3.File Inclusion(Low)——小白笔记——文件包含漏洞
qwsn
11-11 1500
0x01:本地包含(Low) 1.http://127.0.0.1/dvwa/vulnerabilities/fi/传参 也就是通过urlpage参数传参 ①http://127.0.0.1/dvwa/vulnerabilities/fi/?page=file1.php ②http://127.0.0.1/dvwa/vulnerabilities/fi/?page=file2.php ③http...
文件包含漏洞(原理及介绍)
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
12-08 6117
File inclusion文件包含漏洞)。程序开发人员通常出于灵活性的考虑,会将被包含的文件设置成变量,然后动态调用这些文件。但正是因为调用的灵活性导致用户可能调用一些恶意文件,造成文件包含漏洞文件包含漏洞分为本地文件包含漏洞和远程文件包含漏洞.
DVWA之包含漏洞file Inclusion)——文件包含漏洞产生的原因、文件包含漏洞的利用方式、DVWA之包含漏洞file Inclusion
weixin_45116657的博客
09-10 2764
hahaha
渗透测试-web安全DVWA-文件包含
harry_c的博客
11-11 1215
渗透测试-web安全DVWA-文件包含基本概念基本配置等级选择进入界面文件配置重启服务漏洞利用进阶内容基本的构建思路服务端会过滤掉对应的字符信息防范 基本概念 其实之前的文章说过,文件包含是一种代码的处理方法,比如函数include、require等,参数是文件名 但是如果对应的参数能够被用户可控的话,黑客就能够利用,构造出危害系统的缺口。 基本配置 等级选择 首选选择DVWA的等级为Low ...
一步一步学习DVWA渗透测试-(File Inclusion文件包含)-第八次课
manok的专栏
02-03 611
File Inclusion,意思是文件包含漏洞),是指当服务器开启llow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。 文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞,远...
DVWA文件包含漏洞
sunshine1_0的博客
04-04 2355
什么是文件包含漏洞安全级别 中安全级别 高安全级别 什么是文件包含漏洞 文件包含漏洞:即File Inclusion,意思是文件包含漏洞),是指当服务器开启allow_url_include选项时,就可 以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文 件,此时如果没有对文件来源进行严格审查...
DVWA漏洞靶场-文件包含(File Inclusion)
08-02 534
基本知识: php中引发文件包含漏洞的通常是以下四个函数: include() include_once() require() require_once()    require_once() 和 include_once() 功能与require() 和 include() 类似。但如果一个文件已经被包含过了,则 require_once() 和 include_...
Web_FileInclusion学习
zcc1414的专栏
10-10 3193
文件包含漏洞
dvwa文件包含漏洞思路
最新发布
07-12
DVWA (Damn Vulnerable Web Application) 是一个开源的安全学习平台,它包含了各种常见的Web应用程序漏洞,用于帮助安全从业人员、学生和开发者了解和测试如何防御这些漏洞dvwa 文件中的漏洞主要包括: 1. SQL注入漏洞:通过构造恶意SQL查询,试图访问或修改数据库中的数据,如`vuln-sqli.php`。 2. 跨站脚本攻击(XSS):攻击者将恶意脚本插入到网页上,当用户浏览该页面时执行,如`xss-vectors.php`。 3. 上传目录遍历(目录遍历)漏洞:允许攻击者利用文件上传功能获取服务器的敏感文件,如`file-uploads/upload.php`。 4. 文件包含漏洞:程序错误地包括了外部文件的内容,如果这个外部文件可以被篡改,就可能导致攻击,如`remote-file-inclusion/vulnerable1.php`。 理解这些漏洞的原理后,通常步骤包括: - 执行漏洞检测工具或手动分析代码路径 - 构造对应的数据包触发漏洞 - 观察系统响应或验证预期结果是否出现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值