php本地及远程文件包含漏洞

最新推荐文章于 2024-05-30 12:54:24 发布
最新推荐文章于 2024-05-30 12:54:24 发布
阅读量111 收藏
点赞数
文章标签: php 运维
原文链接:http://www.cnblogs.com/lijp/p/5074005.html
版权

在php程序中包含有file inclusion的时候,php要开启一下两个功能:

allow_url_fopen on
allow_url_include on

但是开启这两个功能之后伴随的是url漏洞,例如:

http://192.168.2.109/DVWA-1.9/vulnerabilities/fi/?page=include.php

这个连接是正常的连接,但是如果在page后面访问的如果是C:\XXX文件,这样就是php的一个漏洞,如何去防御这种注入

有很多人说把allow_url_fopen on 以及allow_url_include on关闭,但是,关闭之后php很多功能模块无法使用,现在最好的解决方法是用Suhosin。

Suhosin是php的一个扩展模块,能够加强php脚本语言的安全性。

有关Suhosin的详细信息请参见:http://www.shenqhy.com/using-the-php-suhosin-protect-your-environment-install-suhosin.html

linux下php安装Suhosin

1、安装编译工具
yum install wget  make gcc gcc-c++ zlib-devel openssl openssl-devel pcre-devel kernel keyutils  patch perl
2、安装suhosin
cd /usr/local/src  #进入软件包存放目录
wget http://download.suhosin.org/suhosin-0.9.33.tgz  #下载
tar zxvf suhosin-0.9.33.tgz  #解压
cd suhosin-0.9.33  #进入安装目录
/usr/local/php5/bin/phpize  #用phpize生成configure配置文件
./configure  --with-php-config=/usr/local/php5/bin/php-config  #配置
make  #编译
make install  #安装
安装完成之后,出现下面的界面,记住以下路径,后面会用到。
/usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/  #suhosin模块路径
3、配置php支持suhosin
vi /usr/local/php5/etc/php.ini  #编辑配置文件,在最后一行添加以下内容
extension="suhosin.so"
4、测试
vi /usr/local/nginx/html/phpinfo.php   #编辑
<?php
phpinfo();
?>
:wq! #保存退出
service php-fpm restart  #重启php-fpm
service nginx restart  #重启nginx

至此可以用phpinfo查看php中关于SUhosin信息。

 

 

 

 

 

 

 

参见:http://www.osyunwei.com/archives/5313.html

转载于:https://www.cnblogs.com/lijp/p/5074005.html

weixin_30807779
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP 网络开发详解之远程文件包含漏洞
10-29
由于PHP支持使用相同的函数(Function)对本地文件远程文件进行操作。因此,一些恶意用户通过强行使网站上的PHP代码(Code)包含自己的文件来实现执行自己脚本的目的。
php远程文件包含攻击,php远程文件包含漏洞
weixin_29602351的博客
03-10 628
Author:Zizzy两年前的文章了,估计适合对php包含漏洞一知半解的2004-3-7在这篇文章里我会告诉php远程文件包含漏洞的原理,初涉程序员的人必看。首先的问题是,什么才是”远程文件包含漏洞“?简要的回答是服务器通过php的任意文件包含过滤不严,从而去执行一个恶意文件,这是个程序员过滤上的问题,请记住,所有的cgi程序都有这样的bug。1.找出bug:为了发现目标,我们首先要知道包含两个...
PHP漏洞挖掘之旅——远程文件包含漏洞
kendyhj9999的专栏
05-25 3701
PHP漏洞挖掘之旅——远程文件包含漏洞 2011, April 21, 8:31 AM. PHP学习 Submitted by admin  本篇文章源自《黑客防线》2007年5月刊 转载请注明版权 作者:cnbird[H.U.C]河北泊头杨宁 ===================================   大家好,我是cnbird[H.U.
远程文件包含 php,php本地及远程文件包含漏洞
weixin_32323455的博客
04-12 454
php程序中包含有file inclusion的时候,php开启一下两个功能:allow_url_fopen onallow_url_include on但是开启这两个功能之后伴随的是url漏洞,例如:http://192.168.2.109/DVWA-1.9/vulnerabilities/fi/?page=include.php这个连接是正常的连接,但是如果在page后面访问的如果是C:\...
【无标题】
qq_66597767的博客
05-01 571
文件包含漏洞1.原理2.php 中引发文件包含漏洞的通常是以下四个函数3.分类4.利用条件5.利用方式6.防御方式7.绕过方式 1.原理 文件包含漏洞的产生原因是在通过 PHP 的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。 2.php 中引发文件包含漏洞的通常是以下四个函数 1、include() 当使用该函数包含文件时,只有代码执行到 include() 函数时才将文件包含进来,发生错误时只给出一个警告,继续向下执行。 2、i
PHP文件包含漏洞
Atkx's Blog
09-25 1019
1.超链接 应用场景:主要实现网站(web应用)内部跳转、网站之间的跳转 语法: <a href="链接地址" target="_blank|_self|_parent|_top">内容</a> target的值 值 描述 _blank 在新窗口中打开被链接文档。 _self 默认。在相同的框架中打开被链接文档。 _parent 在父框架集中打开被链接文档。 _top 在整个窗口中打开被链接文档。 (1)创建超链接,连接到百度 <a hre
Web应用安全:文件包含漏洞简介.pptx
06-18
文件包含漏洞简介 文件包含漏洞简介 1、什么是文件包含漏洞? 开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,而无需再次编写,这种调用文件的过程一般被称为包含。 为了使...
phpmyadmin 远程文件包含漏洞(CVE-2018-12613) - tdcoming'blog QQ group 906
08-04
漏洞背景背景介绍phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具…阅读数 156博文CVE-2018-12613 --- 本地文件包含造成
php获取远程文件的内容和大小
12-18
可以给表格排序,遍历目录,时间排序获取远程文件大小的php函数PHP 获取远程文件内容的函数代码PHP 网络开发详解之远程文件包含漏洞php带密码功能并下载远程文件保存本地指定目录 修改加强版php下利用curl判断远程...
fuckshitup:php-cli漏洞扫描器
05-24
使用URL列表,扫描程序将查找跨站点脚本,远程文件包含,SQL注入和本地文件包含漏洞。 它能够对特定范围的主机执行大规模的蛮力攻击,或者使用从FPD中获取的特定用户名执行蛮力ssh。 每当发现有趣的东西(例如漏洞...
php 远程文件包含配置项,文件包含漏洞总结 - ghtwf01 - Welcome to ghtwf01's blog
weixin_29246195的博客
03-11 510
文件包含简介服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间文件包含函数require()require_once()include()include_once()include和require区别主要是,include在包含的过程中如果出现错误,会抛出一个警告,程序继续正常运行;而require函数出现错误的时候,会直接报错...
php include 远程文件路径,php远程文件包含漏洞(一)
weixin_31894867的博客
03-10 837
(服务器通过php的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,而我们可以构造这个恶意文件来达到邪恶的目的。涉及到的危险函数:include(),require()和include_once(),require_once()Include:包含并运行指定文件,当包含外部文件发生错误时,系统给出警告,但整个php文件继续执行。Require:跟incl...
文件包含漏洞02】文件包含漏洞原理及本地远程两种攻击方式
Fighting_hawk的博客
03-10 4714
1. 理解文件包含漏洞产生的原因; 2. 掌握本地与远程利用漏洞的方式。
Steamdeck使用Windows系统游玩雪地奔驰时闪退问题解决方法
fxalll的博客
05-28 439
在github正好有一个叫dxvk的库,能够基于vulkan实现d3d11,因此我们访问https://github.com/doitsujin/dxvk,从 Releases下载dxvk-2.3.1.tar.gz(当前最新版本),解压压缩包,在x64 目录中获取 dxgi.dll 和 d3d11.dll,并将两个dll文件放进Snowrunner.exe根目录所在的位置,再次启动游戏,游戏果然正常运行了。因此我自己分析终于解决该问题。困扰我两天的问题终于解决了,也算这个小众游戏全网的第一个解决方案吧。
PbootCMS后台用户账号密码时进行重置工具
itfans123的博客
05-29 242
2)在浏览器直接访问访问该文件地址,然后按照页面提示输入相关信息进行重置,此处填写的“数据库配置文件”用于重置工具连接数据,如果没有做过特殊改动,一般默认即可,然后输入要重置的账号和新密码,重置后一定要记得删除该工具,切记!1)下载重置工具解压包,解压后将resetpw.php文件直接上传到网站根目录下;使用完之后一定要删除resetpw.php文件!工具用于忘记PbootCMS后台用户账号密码时进行重置。
HackTheBox-Machines--Popcorn
七天
05-28 543
Popcorn 测试过程。
3.location的写法
u010198709的博客
05-28 400
让服务器接收到请求后,根据需求改写地址,以改写的地址给客户端响应。优先级: =, ^~, ~, ~*, location /nginx通过fastCGI机制调用PHP,处理动态资源。php以fpm的方式运行,有自己独立的进程、服务。将httpd换为nginx,高并发、高性能。作用: 匹配客户端响应。
建WordPress主题官网模板
最新发布
xiaoyuya
05-30 279
WordPress主题官网模板
linux下dvwa文件远程包含漏洞,DVWA-文件包含漏洞
05-17
是一种常见的Web应用程序漏洞,攻击者可以通过该漏洞在Web应用程序中包含外部文件,从而访问敏感信息或执行恶意代码。DVWA(Damn Vulnerable Web Application)是一个专门用于漏洞测试的Web应用程序,其中包含了一些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值