实验37:文件包含原理以及本地文件包含漏洞案例演示

最新推荐文章于 2024-06-07 23:28:11 发布
最新推荐文章于 2024-06-07 23:28:11 发布
阅读量386 收藏 3
点赞数
分类专栏: 作业
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44720671/article/details/90147257
版权

文件包含原理以及本地文件包含漏洞案例演示

在这里插入图片描述
在这里插入图片描述
本来网站是含有Funciton1和2这两个包含函数,由于这个文件是可以被用户控制的,如果这时候用户传进来了其他的文件,如果入口没有对传进来的文件进行控制的话,那么包含函数也可以把用户传进来的文件包含掉,这样会把系统配置文件的信息暴露出去
在这里插入图片描述

如果还包含了远程的php文件,加载到了本地去执行,那么问题就更严重了。

包含函数

在这里插入图片描述
我们以pikachu为例,打开此页面

我们在这里随便选择,这里选择科比
在这里插入图片描述
提交之后我们可以看一下他的请求,实际上是传了一个文件名
在这里插入图片描述
改变查询后,文件名也会变
后台会根据你的目标文件去进行操作,这个文件名是从前端传到后台的,所以前端的人员可以尝试着去做修改
有个常用的测试方法
在这里插入图片描述
然后这样操作:
在这里插入图片描述

以菜之名
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(TP系列历史漏洞分析)Thinkphp 5.1.37反序列化漏洞分析
lllffg的博客
04-26 2340
Thinkphp 5.1.37反序列化漏洞 准备工作 安装Thinkphp 5.1.37环境 首先去github下载Thinkphp的源码,现在Thinkphp已经分为2个部分, https://github.com/top-think/framework/tags https://github.com/top-think/thinkphp/tags 下载5.1.37(最新版)对应的版本号 将framework改名为为thinkphp放到think-5.1.37中 复现过程 直接去/public/inde
本地文件包含漏洞详解
热门推荐
发哥微课堂
06-14 2万+
0x00:漏洞定义 在通过服务器脚本的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露、恶意代码的注入等。 文件包含分为两种,一种为本地文件包含,一种为远程文件包含,此篇记录本地文件包含。本地文件包含(Local File Include),简称 LFI。 0x01:涉及函数 文件包含在 php 中,涉及到的危险函数有四个,分别是 inclu...
文件包含漏洞
qq_55213436的博客
03-27 4419
一、前言 把可重复使用函数写入到单个文件中,在使用该函数,直接调用此文件,无需编写函数,这一调用文件的过程被称为包含。文件包含漏洞是一种常见的web类型漏洞,因为很多脚本语言支持使用文件包含,也就是我们所说的文件包含函数,网站开发者经常会把一些代码插入到指定的地方,从而节省之间避免再次编写 ,这就是包含函数的基础解释 ,但是我们不光可以包含我们预先指定的文件,也可以包含我们服务器内部的其他文件,前提条件就是我们需要有可读的权限才能读取这些文件 ,所以这样就会导致文件包含漏洞。 二、文件包含...
pikachu靶场(File Inclusion(文件包含)通关教程)
最新发布
记录学习
06-07 719
pikachu靶场文件包含通关教程
Web渗透测试之SRC挖掘经验分享
03-30
专注培养高薪网络安全人才,帮助大家了解并学习网络安全,传授黑白帽实战技能,带领零基础小白正式踏入入门阶段。把所有漏洞作为总结讲解,从理论到实战的分享,所有经验。结合漏洞挖掘的经验以及安全工作相关的经验总结漏洞原理、发现、利用,修复,姿势,防御,等多方面思路。实战方面结合以往挖掘SRC经验,把如何操作的各种方法和经验,以及挖过的漏洞,全部分享。具备web渗透测试工程师的工作水平; 能够挖掘各家SRC应急响应中心漏洞,凭借挖漏洞月收入过万
文件包含漏洞实验
IT1995的博客
03-11 5620
在本次实验前要先开启远程包含如下图所示:某php程序员小白将下面的代码命名成test.php部署到网站http://websecurity.163.com/的根目录下<?php $filename = $_GET['file'];//将参数file的值传递给$filename $filename = str_replace( array( "http://", "http...
计算机病毒与防护:文件上传漏洞原理.ppt
06-10
开发者需要时刻警惕,采取全面的安全策略,包括但不限于输入验证、文件内容过滤、安全配置以及持续的漏洞扫描和更新,以确保用户的文件上传不会成为攻击的入口。同时,作为用户,了解这些潜在的风险也有助于提高自我...
08_理论8_文件包含漏洞原理与实践_20180921
02-10
08_理论8_文件包含漏洞原理与实践_20180921
web网站文件包含漏洞和攻击-运维安全详细笔记总结
06-30
在本次实验中,我们了解了文件包含漏洞原理和攻击步骤,并了解了防御文件包含漏洞的措施。我们也了解到了文件包含漏洞的危害,并了解到了攻击者可以通过文件包含漏洞来获取服务器的控制权。 文件包含漏洞是 web ...
信息安全技术基础:本地文件包含漏洞.pptx
11-01
【信息安全技术基础:本地文件包含漏洞】 在网络安全领域,本地文件包含漏洞(Local File Inclusion,简称LFI)是一种常见的安全问题,它涉及到网站应用程序如何处理用户输入来决定要加载的本地文件。这类漏洞允许...
Web应用安全:文件包含漏洞简介.pptx
06-18
攻击者可以利用此漏洞包含并执行远程服务器上的恶意代码,比如上传一句话木马并通过`include`或`require`来运行。一旦成功,攻击者可能获得服务器的完全控制权限。 文件包含漏洞的防御措施主要包括:限制文件包含的...
文件包含漏洞总结
Shanfenglan's blog
04-06 775
前言 主要有远程文件包含与本地文件包含,一般出现在php环境中。 绕过姿势 参考文章 文件包含漏洞(绕过姿势)
31:WEB漏洞-文件操作之文件包含漏洞全解
mingyqf的博客
04-03 1593
31:WEB漏洞-文件操作之文件包含漏洞全解 思维导图 知识点 文件包含漏洞``原理,检测,类型,利用,修复等` `原理:将文件以脚本执行` `文件包含各个脚本代码``ASP,PHP,JSP,ASPXdeng``<!--#``include` `file=``"1.asp"` `-->``<!--#``include` `file=``"1.aspx"` `-->``<c:import url=``"http://thief.one/1.jsp"``>``<jsp
远程文件包含漏洞案例讲解和演示
北冥有鱼
05-06 2206
我们可以通过php协议实现远程文件包含,这个include默认是关闭的,我们可以手动给他打开 远程包含漏洞危害级别要高出本地的很多,因为本地的利用是有限的,我们还需要去猜这个配置文件的漏洞,危害自然就低一些 比如我们可以在远端写一个一句话木马,放到本地去执行,实现了目标站点的远程控制 我们来到pikachu 随便提交一个 实际上他提交的是一个目标文件的路径 在测试站点中,直接写了一个fope...
PHP文件包含漏洞复现
春日野穹
09-17 2949
引言~ 老规矩,介绍一波原理先 PHP文件包含原理: 文件包含漏洞的产生原因是在通过 PHP 的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。 php 中引发文件包含漏洞的通常是以下四个函数: 1、include() 当使用该函数包含文件时,只有代码执行到 include() 函数时才将文件包含进来,发生错误时只给出一个...
7-1文件包含原理及本地文件包含漏洞案例演示
山兔的博客
05-29 458
文件包含漏洞解析-课程目录  文件包含漏洞概述  本地文件包含漏洞测试  远程文件包含漏洞测试  文件包含漏洞之文件上传漏洞的利用  文件包含漏洞常见防范措施 文件包含漏洞概述及本地文件包含漏洞演示文件包含漏洞概述  本地文件包含漏洞测试 文件包含漏洞概述 在web后台开发中,不管用的是什么语言,程序员往往为了提高效率以及让代码看起来更加简洁,基础的会使用“包含”函数功能。 比如会把一些基础的类,基础的方法,写进fuction.php中,之后当某个文件需要调用的时候就直接在文件头中写上一句
文件包含漏洞详解 一文了解文件包含漏洞
闵行小鱼塘
11-07 1953
本篇总结归纳文件包含漏洞
文件包含漏洞
weixin_43858799的博客
05-13 230
文件包含原理及本地文件包含漏洞案例演示,远程文件包含漏洞案例讲解和演示文件包含漏洞防范措施 一、文件包含原理及本地文件包含漏洞案例演示 文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在PHP中,提供了: include(),include_once() require(),require_once() ...
7-2远程文件包含漏洞案例讲解和演示
山兔的博客
05-31 2169
远程文件包含漏洞测试  远程文件包含漏洞测试 远程文件包含漏洞 远程文件包含漏洞形式跟本地文件包含漏洞差不多,都是我们的开发人员在后台使用包含函数的时候,没有对它包含的目的地,进行相关的安全措施,导致前端传进来的目标地址,被直接包含进去 在本地文件包含漏洞中,它传进来的,只能是本地的文件,它只能在本地去读取相关路径下的一些文件 在远程包含漏洞中,攻击者可以通过访问外部地址来加载远程的代码 但是在PHP配置里面,我们可以通过一些特殊的配置,允许这个包含函数,去通过一些协议,比如http、ftp这样的协议,去

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值