文件包含篇

最新推荐文章于 2024-07-22 10:00:00 发布
最新推荐文章于 2024-07-22 10:00:00 发布
阅读量124 收藏
点赞数
分类专栏: cisp-pte 文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56726035/article/details/131953450
版权

靶场一

输入../key.php 

 直接就跳出成功了

但是我们去查看源代码,没有找到key

我们直接用伪协议

php://filter/read=convert.base64-encode/resource=../key.php

再用base64解密一下

 

拿到key

第二个靶场

直接用php伪协议看看

php://filter/read=convert.base64-encode/resource=../key.php

 

发现不行

我们去看看他直接包含的文件

查看一下源代码

 

我们用base64解密一下

 

说的传参Hello然后才会执行下面的base64编码的语句

 

然后用post传参

 

 

拿到key

靶场三

 

本来这个网站是可以的,我们直接用伪协议可以做出来,把php://双写就能做,但是这个网站被搞坏了,所以我直接写入一句话木马

 

再用蚁剑连接

 

成功连接,再去查找key就行了 

 

Joey_L.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php文件包含的几种方式总结
10-16
在本文章里小编给大家整理的是一关于php文件包含的几种方式总结内容,有需要的朋友们跟着学习参考下。
文章搞定Python操作文件与目录
12-26
文件和目录操作是很常见的功能,这里做个简单的总结,包括注意事项和实际的实现代码,基本日常开发都够用了 目录操作 判断目录或是文件是否存在 os.path.exists(path) 判断是否是文件或是目录 # 如果文件或是...
BUUCTF web 文件上传+文件包含
m0_55854679的博客
08-09 2422
文章目录[ACTF2020 新生赛]Include——文件包含 [ACTF2020 新生赛]Include——文件包含 1.打开题目链接,查看题目意思为文件包含 2. 获取到的url为 http://c605348f-44f9-4c25-b602-66c73ee07005.node3.buuoj.cn/?file=flag.php 是一个php文件,返回字符串如下:Can you find out the flag? 猜测读取原码:构造url: ?file=php://filter/read=conve
网络安全】php文件包含漏洞
贤鱼的博客
10-13 1664
php文件包含漏洞--思路+例题讲解
文件包含漏洞详解
Ays.Ie的博客
10-31 4604
文章主要讲解文件包含漏洞,内容包括文件包含漏洞的原理,验证,以及修复的策略
文件包含漏洞
nobugnomoney的博客
03-23 5035
一、文件包含漏洞原理 PHP语言提供的文件包含功能太强大,太灵活,所以包含漏洞常常出现在PHP中,但不只是PHP中有包含漏洞,其他语言也有包含漏洞,如java等,本主要以PHP为例讲解原理及其利用技巧: PHP提供4个文件包含的函数 1、include():找不到文件时继续执行,只会警告 2、include_once():与include()类似,只是如果文件中的代码已被包含,则不会再次包含 3、require():找不到文件时会爆出致命的错误; 4、require_once():与上述的类似; 1、本地
文件包含漏洞——实例
weixin_54055099的博客
09-24 2977
文件包含漏洞的实例
《vc精华文摘-文件》.rar_VC 文件
09-24
《VC精华文摘-文件》是一份针对Visual C++(简称VC)编程中关于...《VC精华文摘-文件》可能包含以上部分或全部内容,通过学习和实践,开发者能有效提高在VC环境中处理文件的能力,实现更高效、稳定的文件系统交互。
安卓备份文件ab文件解压工具
09-30
这种文件包含了设备上应用程序的数据,包括应用设置、联系人、短信、图片等,以便在需要时进行恢复。由于其内部结构复杂,普通用户很难直接读取或解压。 针对`ab`文件的解析和提取,我们有专门的工具,如“安卓备份...
文件系统那些事.pdf
04-28
文件系统是存储和组织计算机文件和文件中所包含的数据,以方便地找到和存取它们的方法。更加正式地说,文件系统是一个用来存储、分级管理、处理、导航(navigation)、访问和恢复数据的抽象数据种类(例如元数据)的...
网络安全科普】勒索病毒 防护指南
a38417的博客
07-20 1372
常规的杀毒软件查找病毒的原理一般是对当前计算机上的文件进行特征的检测,检测完成后和现有的病毒库中的特征数据进行匹配,如果可以匹配成功则找到病毒文件,因此现有的勒索病毒对我们常用的常规杀毒软件是一个很大的挑战。一旦勒索病毒感染了计算机,它会立即开始加密用户的文件,包括文档、图片、视频等,并在屏幕上显示要求用户支付赎金的消息。从操作系统来看被植入病毒的主要是Windows XP、Windows 7,原因是目前这些系统中有一部分微软官方已经不再支持更新、以及补丁的维护,一般会存在较多的无法及时修复的漏洞。
网络安全法规对企业做等保有哪些具体规定?
最新发布
gmqqcsdn的博客
07-22 634
企业需根据信息系统被定级的保护等级,执行必要的安全保护措施,包括技术措施和其他必要措施,确保网络免受干扰、破坏或未经授权的访问,防止网络数据泄露或被窃取、篡改。根据《中华人民共和国网络安全法》,企业作为网络运营者,需要履行网络安全等级保护制度的相关义务,确保网络安全和数据保护。:企业应根据网络安全等级保护制度的要求,对其负责运行的信息系统进行安全保护等级的划分,并采取相应级别的安全保护措施。:企业在处理个人信息时,应遵循法律、行政法规的规定,建立个人信息保护影响评估等义务,确保个人信息的合法合规处理。
网络安全常用易混术语定义与解读(Top 20)
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
07-21 1071
没有网络安全就没有国家安全网络安全已成为每个人都重视的话题。随着技术的飞速发展,各种网络攻击手段层出不穷,保护个人和企业的信息安全显得尤为重要。**然而,在这个复杂的领域中,许多专业术语往往让人感到困惑。为了帮助大家更好地理解网络安全的基本概念和术语,博主整理了20多个常见且容易混淆的专业术语。** 接下来,让我们一起深入探讨这些术语,掌握它们的真正含义!
网络安全领域五大注入攻击类型介绍
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
07-21 996
SQL注入是最常见的注入攻击类型之一,攻击者通过在输入字段中插入恶意的SQL代码来改变原本的SQL逻辑或执行额外的SQL语句,来操控数据库执行未授权的操作(如拖库、获取管理员信息、获取 WebShell权限等)。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,通常用于窃取用户的会话信息、Cookies等。应用程序包含反射式输入类型时容易出现跨站脚本攻击。比如弹出一个假的窗口骗取用户信息。命令注入攻击允许攻击者在服务器上执行任意命令,通常通过在输入字段中插入系统命令来实现。
网络安全----web安全防范
weixin_55357256的博客
07-16 803
以下代码用来防范流行的DDoS攻击,ARP欺骗,CC攻击,XXS攻击,对输入的恶意代码进行过滤,嵌入到web程序可以很好的防范网络攻击,但如果想要更好的防范网络攻击,还需要更加复杂的配置和更硬核的硬件。print(f"可能的 CC 攻击针对资源 {resource} 检测到")# 用于检测 CC 攻击的函数(简单示例,通过监测短时间内对同一资源的请求频率)# 用于检测 XSS 攻击的函数(简单示例,检查输入中是否存在可疑脚本标签)# 用于检测 DDoS 攻击的函数(简单示例,通过监测短时间内的连接数量)
2024年网络安全焦点:新兴威胁与防御技术创新
waitaikong_的博客
07-22 257
2024年,随着网络技术的发展,网络安全面临的威胁也在不断演变。本文将深入探讨2024年网络安全领域的最新威胁与防御技术创新,并分析它们对企业及个人安全的影响。
黑龙江网络安全等级保护测评策略概述
waitaikong_的博客
07-21 523
黑龙江省网络安全等级保护测评策略是为了保障信息系统安全稳定运行,根据《网络安全法》和相关国家标准制定的综合性安全评估和加固过程。该策略不仅要求企业和机构明确自身信息系统的安全等级,还指导其实施相应的技术防护与管理措施,确保数据的保密性、完整性和可用性。
如何保护你的网络安全
m0_70655343的博客
07-15 1015
这项服务可以抵御复杂的网络威胁,即使在最强烈的攻击下也能保证您的网站服务如常,用户几乎无感知。此外,DDoS高防服务还具备网络应用程序防火墙(WAF),采用实时监控和机器学习来保护用户的资料,防止用户资料被盗,保护服务免遭未经授权的访问,降低个人数据泄露的风险,进而防止数字资产流失。为什么它这么重要呢?打个比方,这就像是你家车库的门开关出了问题,每次你按下按钮,车库门就不停地开关,直到电池耗尽。想象一下,你家的路由器被人利用来发起攻击,就像是你家的水龙头被打开,水不停地流向别人的房子,淹没了他们的院子。
网络安全-等级保护制度介绍
weixin_56233402的博客
07-18 616
以等级保护为标准开展安全建设,可以让单位自身安全建设更加体系化,可以从物理、网络、主机、应用、数据多个方面成体系进行安全建设,再也不会头疼医脚脚痛医头,对本单位的安全建设有了整体的规划和思路。责任更清晰,完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外,如果没有进行等级保护测评意味着你没有达到国家要求,用户单位承担主要责任,网监部门会直接进行比较严厉的处罚。《信息系统安全保护等级定级指南》GB/T 22240-2008。《基本要求》《定级指南》《实施指南》《测评标准》
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值