php本地包含include,eXtplorer include/init.php本地文件包含漏洞

最新推荐文章于 2024-08-28 10:29:09 发布

梦想做个翟老师

最新推荐文章于 2024-08-28 10:29:09 发布

阅读量126

点赞数

文章标签： php本地包含include

eXtplorer include/init.php本地文件包含漏洞

发布日期：2009-03-02

更新日期：2009-03-03

受影响系统：

Soeren Eberhardt eXtplorer 2.0.0

不受影响系统：

Soeren Eberhardt eXtplorer 2.0.1

描述：BUGTRAQ ID: 33955

eXtplorer是一款基于web的文件管理组件。

eXtplorer的include/init.php文件没有正确的过滤用户所提交的lang参数，远程攻击者可以通过提交恶意请求包含任意本地资源，导致执行任意代码。以下是include/init.php文件中的有漏洞代码段：

100行：

$GLOBALS["language"] = $mainframe->getUserStateFromRequest(

'language', 'lang', $default_lang );

145行：

// Necessary files

require_once( _EXT_PATH."/config/conf.php" );

if( file_exists(_EXT_PATH."/languages/".$GLOBALS["language"].".php")) {

require_once(

_EXT_PATH."/languages/".$GLOBALS["language"].".php" ); <- HERE

}

else {

require_once( _EXT_PATH."/languages/english.php" );

}

if(

file_exists(_EXT_PATH."/languages/".$GLOBALS["language"]."_mimes.php")) {

require_once(

_EXT_PATH."/languages/".$GLOBALS["language"]."_mimes.php" ); <- HERE

}

else {

require_once( _EXT_PATH."/languages/english_mimes.php" );

}

Soeren Eberhardt eXtplorer 2.0.0

厂商补丁：

Soeren Eberhardt

----------------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://extplorer.sourceforge.net/

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

梦想做个翟老师

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

web 文件管理器html,搭建开源的web文件管理器（eXtplorer）

weixin_42513448的博客

06-27

1106

1. 下载：```wget https://extplorer.net/attachments/download/77/eXtplorer_2.1.11.zip```2. 解压：```unzip eXtplorer_2.1.11.zip -d extplorer```3. 复制到站点根目录：```\cp -a extplorer/. /var/www/html/```4. 添加权限：...

eXtplorer_2.0.0.zip

09-02

eXtplorer is based on ...the LGPL are not compliant to each other, you are not allowed to use the ExtJS library in eXtplorer if you decide to use and/or distribute eXtplorer under the terms of the MPL.

参与评论您还未登录，请先登录后发表或查看评论

PHP include 漏洞扫描器

06-05

PHP包含漏洞扫描器的源代码,horse_b制作,多线程的好例子下载可以到www.horseb.org的"原创源码"里下载

PHP漏洞之文件包含漏洞

dogeace的博客

11-28

1821

在php语言中存在着下面几个函数存在文件包含的的功能，这些函数的本意是方便开发者及用户实现某些功能，但是如果不对文件包含的内容进行严格的的限定，会被攻击者恶意利用。这就是php的文件包含漏洞。下面有四个函数可以实现文件包含分别是： 1.include（）；用此函数包含的时候，如果出现错误，会提出警告，跳过此步骤继续执行剩下的代码。 2.require（）；此函数文件包含出现错误的时候，终止程序的运行，与include（）区别就是这里。 3.include_once()与1的唯一区别是文件只被包含一次，避免文

文件包含漏洞详解

最新发布

m0_65409532的博客

08-28

1351

服务器执行PHP文件时，可以通过文件包含函数加载另一个文件中的PHP代码，并且当 PHP来执行，这会为开发者节省大量的时间。

PHP文件包含(include)致命漏洞

创业的程序员

12-29

1549

<br />假如你的网站目录下有个这样的文件：<?php$file=$_GET['f'];$file=str_replace(".","",$file);include($file.".jpg");你会觉得存在致命漏洞么，比如我想让最后一句变成 include(test.php);你觉得有可能吗？其实很简单，除了.用于标识文件扩展名之外，还可以用 “,地址栏输入 ?f=test”php%00 就可以达到目的了，%00是ascii码为0的字符，在这里会产生截断，而 test”php，被include当成了te

PHP文件包含漏洞

Jim的博客

08-17

1333

PHP的文件包含可以直接执行包含文件的代码，包含的文件格式是不受限制的。 文件包含分为本地文本包含（local file include）和远程文件包含（remote file include） 文件包含函数有：include(),include_once(),require()和require_once() 1.本地文件包含是指只能包含本机文件的包含漏洞，大多出现在模块加载，模板加载和ca

PHP文件包含漏洞（利用phpinfo）

Li-D的博客

12-31

8613

漏洞描述 文件包含漏洞的产生原因是在通过PHP的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。 PHP中引发文件包含漏洞的通常是以下四个函数： 1、include()当使用该函数包含文件时，只有代码执行到include()函数时才将文件包含进来，发生错误时只给出一个警告，继续向下执行。 2、include_once()功能和include()相同，区别在于当重复调用同一文件时，程序只调用一次。 3、require()只要程序一执行就

Extplorer for Drupal 7:eXtplorer是一个基于Web的文件管理组件，可以满足您的所有需求。-开源

05-09

eXtplorer是一个基于Web的文件管理组件，可以满足您的所有需求。它具有类似于桌面应用程序的界面，具有拖放，网格和目录树，并且大量使用了Sencha ExtJS Javascript库。您可以使用它通过FTP或直接文件访问来访问和...

eXtplorer File Manager-开源

04-16

eXtplorer是一款完全开源的PHP文件管理系统，它为用户提供了在Web环境中管理服务器文件的便捷途径。这款工具的功能丰富，包括但不限于浏览目录、编辑文件、复制与移动文件、删除文件、执行搜索、上传下载文件、创建...

eXtplorer_2.0.1

06-11

7. **extplorer.init.php** - 这个文件可能是eXtplorer的初始化脚本，负责加载配置、设置环境变量和启动应用程序。 8. **extplorer.php** - 另一个可能的主要入口点，可能处理用户的交互和文件操作请求。 9. **...

PHP文件包含漏洞复现

春日野穹

09-17

3049

引言~ 老规矩，介绍一波原理先 PHP文件包含原理: 文件包含漏洞的产生原因是在通过 PHP 的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。 php 中引发文件包含漏洞的通常是以下四个函数： 1、include() 当使用该函数包含文件时，只有代码执行到 include() 函数时才将文件包含进来，发生错误时只给出一个...

php文件包含漏洞详解

weixin_61835841的博客

10-05

447

文件包含漏洞相关知识及复现

PHP文件包含漏洞总结

坚持硬核

10-07

3467

首先，我们学习两个函数：require(string) include(string)这两个函数的作用是相同的，就是将一个文件的内容包含在其所在的php代码中。例如：我们写了一个1.txt文件放在服务器上，其内容为：<?php phpinfo()?> 当我们去请求这个页面的时候，自然而然，页面会原封不动的将这句话显示出来，那么有什么骚姿势可以让这句话作为php代码被解析呢？嘿...

php 文件包含漏洞,文件包含漏洞总结

weixin_28630185的博客

03-12

316

前言：本人(九世)正式从博客园：迁移到：http://hackhat.net。会进行同步更新正文：漏洞来源：文件包含漏洞，得从文件包含说起。一般写代码的人都知道，完成一个项目里面有很多的文件调用和引用而文件包含漏洞，因为文件包含的时候没有做对应的防御措施导致引用的文件变成攻击者所指定的文件。PHP中提供了四个文件包含的函数函数名称特点include遇到错误，仍会执行include_once遇到错误...

PHP文件包含漏洞原理分析和利用方法

hzcyclone的专栏

04-20

850

PHP文件包含漏洞原理分析和利用方法 PHP文件包含漏洞是PHP网站开发中常见的漏洞形式, 主要是由于对包含函数应用不当、代码书写习惯不当等造成的。本文将从包含漏洞产生的原理到防御方法入手，详细解析php文件包含漏洞。一、涉及到的危险函数〔include(),require()和include_once(),require_once()〕 1 include()

PHP代码审计6—文件包含漏洞

W0ngk，一个安全菜鸡，一直在模仿，尚未有超越。

07-27

1932

文件包含漏洞整理与历史漏洞分析

php本地文件包含解决方法,PHP本地文件包含(LFI)漏洞利用

weixin_39979516的博客

03-17

164

0x00 案例参考资料：http://downloads.ackack.net/LocalFileInclusion.pdf实验代码：include($_GET['for'].‘.php’);//用于测试本地包含漏洞?>Linuxtest.php?for=/etc/passwd%00Wintest.php?for=D:\readme.txt%00Log Injection訪問任意頁面，問號後...

php include 远程文件路径,php远程文件包含漏洞（一）

weixin_31894867的博客

03-10

878

(服务器通过php的特性(函数)去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件，而我们可以构造这个恶意文件来达到邪恶的目的。涉及到的危险函数：include(),require()和include_once(),require_once()Include:包含并运行指定文件，当包含外部文件发生错误时，系统给出警告，但整个php文件继续执行。Require:跟incl...

php文件包含漏洞的危害,php文件包含漏洞小结

weixin_28689507的博客

03-19

550

本文由东塔网络安全学院学员---吴同学投稿。0x00 文件包含的出现开发者为了节约开发时间，可以将重复利用的代码使用文件包含的函数，如include，reuqire等进行文件包含，大大节约开发的时间和成本。0x01文件包含函数Include：包含并指定运行的函数。如果未找到文件则include结构会发出一条警告。Require：包含并指定运行的函数。如果未找到文件则include结构会发出一个...