文件包含漏洞、DVWA-File Inclusion

最新推荐文章于 2023-05-11 15:41:00 发布
最新推荐文章于 2023-05-11 15:41:00 发布
阅读量381 收藏
点赞数
分类专栏: Web安全 信息安全 PHP代码审计 文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41487522/article/details/107005177
版权
本文介绍了文件包含漏洞的概念,详细阐述了PHP的include、require等函数的工作原理,并探讨了本地文件包含(LFI)和远程文件包含(RFI)。通过DVWA靶场演示了如何利用和防御文件包含漏洞,包括设置白名单、限制包含目录、严格检查输入等措施。
摘要由CSDN通过智能技术生成

文件包含漏洞

什么是文件包含漏洞?
攻击者利用包含的特性,加上应用本身对文件(包含)控制不严格,最终造成攻击者进行任意文件包含。
(包含的文件会被当做脚本文件来解析)

一句话来说就是:文件包含并不属于漏洞,但是,由于对包含进来的文件不可控,导致了文件包含漏洞的产生。

包含文件很有用,可以简化代码
文件包含分为本地和远程文件包含(需要allow_url_include=On)
本地文件包含LFI
远程文件包含RFI

函数解析
这里我们需要了解4个PHP的函数

include:使用include引用外部文件时,只有代码执行到include代码段时,调用的外部文件才会被引用并读取,当引用的文件发生错误时,系统只会给出警告错误,而整个php文件会继续执行。

require:在php文件被执行之前,php解析器会用被引用的文件的全部内容替换require语句,然后与require语句之外的其他语句组成个新的php文件,最好按新的php文件执行程序代码。

include_once:
使用include_once会在导入文件前先检测该文件是否在该页面的其他部分被引用过,如果有,则不会重复引用该文件,程序只能引用一次。(要导入的文件中存在一些自定义函数,那么如果在同一个程序中重复导入这个文件,在第二次导入时便会发生错误,因为php不允许相同名称的函数被重复声明)

require_once:
require_once语句是require语句的延伸,他的功能与

最低0.47元/天 解锁文章
凌晨三点-
关注
专栏目录
dvwa文件包含漏洞
qq_51177088的博客
05-12 400
文件包含漏洞原理1.本地文件包含2. 远程文件包含3.日志文件包含 ??知识点实例 原理 当服务器开启allow_url_include时,通过PHP函数(如include)去动态包含文件,且该输入用户可控,即会造成文件包含漏洞 eg: #漏洞: <?php include $_GET['filename']; ?> #我们控制输入file为恶意文件test.php filename=test.php #test.php <?php phpinfo(); ?> 1.本地文件包
dvwa——文件包含漏洞
最新发布
GZY0601的博客
09-19 291
昨天把文件上传的漏洞给讲了,但是最后的high的图片马就需要的文件包含漏洞,今天就来补一下文件包含漏洞文件包含漏洞属于代码注入漏洞,为了减少重复代码的编写,引入了文件包含函数,通过文件包含函数将文件包含进来,直接使用包含文件的代码;简单来说就是一个文件里面包含另外一个或多个文件。ok,到这里我们就把文件包含漏洞的三关给解决了,这个漏洞还是比较好理解的,算是很基础的一个漏洞。好啦,以上内容为我个人理解,不喜勿喷,如有写错欢迎指出。
DVWA-文件包含漏洞
热门推荐
qq_43660551的博客
03-05 1万+
文件包含:当服务器开启allow_url_include选项时,可以通过某些特性函数如:include() , require() , include_once() , require_once() 利用url去动态地包含文件,若未对文件进行来源审查,就会导致任意文件读取或者任意命令执行。 分类: (1)本地文件包含 (2)远程文件包含:因为开启了PHP配置中的allow_url_fopen选项,服务器允许包含一个远程文件。 一、low 看下服务器端核心代码:page为做任何过滤。
DVWA靶场——File Inclusion(文件包含漏洞)
qq_74806534的博客
01-18 6564
程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需再次编写,这种调用文件的过程一般被称为文件包含File Inclusion文件包含漏洞),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。
文件包含漏洞DVWA靶场文件包含漏洞详解)
tmzy1的博客
03-25 1264
浏览器中运行此日志文件,即可执行插入的PHP代码。注意:若是一句话代码,就可以控制此服务器了。查看日志文件已记录此条信息。1、文件包含漏洞形成原因。2、文件包含漏洞的分类。3、PHP包含日志文件。
DVWA文件包含漏洞File Inclusion
qq_54537919的博客
06-27 1153
DVWA文件包含漏洞File Inclusion
DVWA--File Inclusion(文件包含)(全难度)
wwxxee
02-20 280
DVWAFile Inclusion(文件包含) 原理参考:网络安全笔记-99-渗透-文件包含 逻辑 page参数的值不同,包含的文件不同。 难度分级 Low 核心代码 分析: 该级别没有对参数进行任何过滤。 利用 包含本地文件: http://192.168.17.141/DVWA/vulnerabilities/fi/?page=C:\Windows\System32\drivers\etc\hosts 本地文件包含目录穿越: http://192.168.17.141/DVWA/vulnera
DVWA系列---File Inclusion 文件包含漏洞
野原新之助
01-28 546
文章目录前言一、Low二、Medium三、High四、Impossible 前言 文件包含文件包含是指为了提高开发效率,将不同功能写入到单独文件中,在需要使用该功能时,将相应的文件导入即可。 常见的文件包含函数: require:找不到被包含的文件,报错,并且停止运行脚本。 include:找不到被包含的文件,只会报错,但会继续运行脚本。 require_once:与require类似,区别...
DVWA】--- 四、文件包含(File Inclusion)
qq_43168364的博客
05-31 539
sh
DVWA之包含漏洞file Inclusion)——文件包含漏洞产生的原因、文件包含漏洞的利用方式、DVWA之包含漏洞file Inclusion
weixin_45116657的博客
09-10 2789
hahaha
dvwa-文件包含漏洞
AI_SumSky的博客
11-26 917
文件包含漏洞 low级别 随便点了个文件发现有传导文件参数 Windows常见的敏感信息路径 系统版本:C:\boot.ini IIS配置文件:C:\windows\system32\inetsrv\MetaBase.xml 存储Windows系统初次安装的密码:C:\windows\repair\sam 查看php配置信息:C:\windows\php.ini Linux常见的敏感信息路径 系统用户信息:/etc/passwd DNS配置文件:/etc/resolv.conf ssh生成文件:/root
DVWA文件包含漏洞
weixin_56306210的博客
05-11 1777
DVWA文件包含漏洞
DVWA靶机-文件包含漏洞(File Inclusion)
weixin_43726831的博客
10-15 4072
DVWA靶机-文件包含漏洞(File Inclusion) 暴力破解-Brute Force 命令注入漏洞-Command injection
Dvwa 文件包含漏洞:保姆级操作
chlet的博客
10-27 1208
Dvwa 文件包含漏洞 原理部分: PHP文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。最常见的就属于本地文件包含(Local File Inclusion漏洞了。 通过引入文件时,用户可控,没有严格的检验,或是被绕过,操作一些敏感文件,导致文件泄露和恶意代码注入 当包含文件在服务器本地上,就形成本地文件包含,当包含的文件在第三方服务器是,就形成可远程文件包含。 程序开发人员一般会把重复使用的
DVWA文件包含漏洞
HoYim
04-11 480
文件包含漏洞:相同的函数写入文件,需要调用函数时直接调用文件,开发人员会将包含的文件设置为变量,从而导致客户端可以恶意调用文件,造成文件包含漏洞. PHP文件包含函数: require():找不到文件,报错,停止运行脚本 include():找不到文件,报错,不停止运行脚本’ require_once():类似require,重复调用文件只调用一次 Include_once():类似includ...
DVWA 文件包含及上传漏洞
Starr
03-07 2115
文章目录1. DVWA File InclusionLow levelMedium levelHigh levelImpossible level2. DVWA File uploadLow levelMedium levelHigh levelImpossible Level 1. DVWA File Inclusion Low level url路径: /dvwa/vulnerabilities/fi/index.php?page=include.php 可以看出page参数对应的php会被包含,尝试
dvwa file inclusionfile upload
05-12
其中包括文件包含File Inclusion)和文件上传(File Upload)两种漏洞文件包含漏洞是指Web应用程序未对用户输入的文件路径进行充分验证,导致攻击者能够构造恶意的文件路径来读取、执行或删除服务器上的敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值