【笔记】LFI测试环境配置

最新推荐文章于 2024-06-12 14:49:48 发布
最新推荐文章于 2024-06-12 14:49:48 发布
阅读量802 收藏 14
点赞数 17
文章标签: 笔记 linux 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43341474/article/details/136072611
版权

摘要

LFI(Linux Fault Injection)是Linux内核提供的一个故障注入工具,想要测试该工具效果需要通过指定方式编译并替换内核。内容源自本人23年10月的一部分实习工作,网络资料多为官方文档的翻译,缺少对LFI测试环境配置的完整教程,故将该笔记上传分享,希望各位少踩坑。

测试设备

设备:机械革命mini主机
CPU:R7-7735HS,8核16线程
显卡:核显AMD Radeon 680M
操作系统:Windows 11
虚拟机软件:Visual Box 7.0,Visulal Box 7.0 Extension Pack(选装)
虚拟机环境:Ubuntu 22.04.3 LTS,内核版本6.2.0-34
测试内核版本:Linux 6.5.7 stable

虚拟机配置

  1. 下载Ubuntu镜像,需约5G空间

  2. 虚拟机硬件设置,根据引导进行,此处注意勾选跳过自动安装
    在这里插入图片描述

  3. 此次注意勾选启用EFI,否则后面可能无法使用NVMe调试
    在这里插入图片描述

  4. 空间分配建议预留空间=1G<EFI引导>+2*虚拟机内存G<swap空间>+50G<内核编译中间文件>

  5. 检查无误点击完成即可,建议预先分配全部空间,以免出现混乱
    在这里插入图片描述

  6. (选)点击设置–>存储,第二个控制器名称为SATA,型号默认为ACHI。如果需要进行NVMe测试,可以在此时将型号改为NVMe
    在这里插入图片描述

Ubuntu桌面系统安装

  1. 点击“启动”打开虚拟机,根据引导进行安装。语言最好选择English,避免中文乱码导致不兼容问题。
  2. 选择Minimal Installation,下一步安装类型选择Something else
  3. 空间分配规则,boot loader选择efi所在的Device
    在这里插入图片描述
Use asPrimary or LogicalSizeMount point
efiLogical1024 MB
swapLogical16384 MB
ext4Primary所有剩余空间/
  1. 时区选上海,创建用户名和主机名,开始安装,完成后点击重启选项。
  2. 找到Software&Updates(蓝色A图标),更改Download from(下载源)为国内网站。然后找到Software Updater(黑色A图标)更新软件。
    在这里插入图片描述

编译更换内核

  1. 安装依赖
sudo apt install libncurses5-dev openssl libssl-dev build-essential pkg-config \
libc6-dev bison flex libelf-dev zlib1g-dev minizip libidn11-dev dwarves
  1. 将压缩包解压到一个较少使用的文件夹中,避免误删除。解压后进入执行
make menuconfig

  1. 输入/,搜索lkdtm,置为y。输入/,搜索所有包含notifier_error_inject,全部置为y。输入/,搜索所有包含 fault_inject的选项位置,全部置为y,基本都在Kernel hacking>Kernel Testing and Converge里面。 !!!必须是显示*,如果是M或空不行!!!

  2. 完成后选择save写入磁盘,退出menuconfig后运行

gedit .config
  1. 修改如下,保存退出

CONFIG_MODULE_SIG=n
CONFIG_SYSTEM_TRUSTED_KEYS=“”
CONFIG_SYSTEM_REVOCATION_KEYS=“”

  1. 运行如下指令进行编译
make -j$(nproc) && make modules
  1. 安装
sudo make modules_install
sudo make install
  1. 重启,打开终端运行下面指令,如果显示的是要安装的版本号则成功。
uname -r
Coder_海东青
关注
网络安全之渗透测试20w字全套笔记
08-25
前50章目录: 收集信息 ...从LFI到RCE Web server日志分析命令 默认密码 wso2 未授权访问 Redis activemq docker elastic hadoop jboss jenkins memcache mongo zookeeper CouchDB Jenkins Solr VNC Webl
文件包含漏洞全面详解
热门推荐
m0_46467017的博客
08-17 6万+
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。...
LFI漏洞利用总结(文件包含)
qq_60115503的博客
04-19 6236
原因 LFI产生的原因是由于程序员未对用户可控变量进行输入检查,此漏洞的影响可能导致泄露服务器上的敏感文件,如若攻击者能够通过其他方式在Web服务器上放置代码,那么他们便可以执行任意命令 涉及到的函数 主要涉及到的函数 include() require() include_once() require_once() magic_quotes_gpc() allow_url_fopen() allow_url_include() move_uploaded_file()
文件包含LFI演化史
Jinmindong
03-07 464
LFI指本地文件包含(Local File Include),本次分享主要讲解PHP方向的LFI。include`requireTips:在PHP中include和require都不属于函数,而是流 程控制的一种,应该算是表达式。LFI主要用于配置类、工具类文件的包含,减少重复代码块。php// 包含配置文件?php?与上一段代码不同之处在于,这里,是对变量进行了包含,而变量是通过POST传参得到,属于用户可控的输入。比较常见的场景在于使用模板进行开发。
LFI(本地文件包含)获取Webshell
weixin_30734435的博客
10-11 450
本地文件包含在Web渗透测试中时不时的会遇到。之前遇到本地文件包含的时候,最多就是证明一下:比如包含“/etc/passwd”。有利用本地文件包含来进行Getshell的,之前是略有耳闻的,这两天看相关文章的时候,好奇一下自己搭环境实现了一遍。很老的技术了,看老外在2011年就写了相关文章,不过文章中的Python程序是有问题的。我会在最后把自己修改的代码分享出来。 ...
LFI(本地文件包含)、RFI(远程文件包含)、PHP封装协议(伪协议)安全问题学习
weixin_45116657的博客
02-04 3053
友情链接:https://www.cnblogs.com/LittleHann/p/3665062.html 目录 一、文件包含的基本概念 1、要想成功利用文件包含漏洞,需要满足下面的条件 (1)include()等函数通过动态变量的方式引入需要包含的文件 (2)用户能够控制该动态变量 二、LFI(Local File Include)本地文件包含 1、00字符截断 防御方法: ...
LFI.rar_LFI_sick_激光_激光 Visual
09-23
"LFI_Player_v1_1_3_DemoFiles.zip"则可能是演示文件或测试数据,我们可以通过这些文件运行项目并观察其效果。 对于“本地文件包含”(LFI)的标签,这通常与网络安全有关。在Web开发中,LFI漏洞允许攻击者读取...
finc:扫描利用lfi漏洞
04-03
芬奇利用python3编写的LFI的开发设置: git clone https://github.com/DSimsek000/finccd finc# recommended setup with virtualenvpython -m venv envsource env/bin/activatepip install -r requirements.txt句法...
CNVD-2020-10487-Tomcat-Ajp-lfi-master.zip
06-11
7. **测试环境**:可能有一个配置好的虚拟机镜像,用于安全测试,确保在可控环境中进行实验。 这个压缩包对了解和处理Apache Tomcat的AJP LFI漏洞至关重要。安全研究人员、系统管理员和开发人员可以通过学习这些...
LFIboomCTF:本地文件包含突破实践原始码以及相应协议利用指南
03-23
LFI(包含本地文件) 进攻简介 下面是纯bb,了解过的跳过这部分; 解释:LFI是能够打开并包含本地文件的漏洞; 这里区别一下RFI,远程文件包含突破; 实际上:文件包含漏洞是“代码注入”的一种,包含即执行,可干的坏事可想而知,看i春秋总结的危害有如下几种: PHP包含突破性合并上传漏洞; PHP包含读文件; PHP包含写文件; PHP包含日志文件; PHP截断包含; PHP内置伪协议利用。 PHP中文件包含函数有以下样式: 要求() require_once() 包括() include_once() include和require区别主要是,include在包含的过程中如果出现错误,会引发一个警告,程序继续正常运行;而require函数出现错误的时候,会直接报错并退出程序的执行。 而include_once(),require_once()这两个函数,与前两个
本地文件包含(LFI)攻击:原理、案例分析与防御策略
最新发布
m0_61532714的博客
06-12 905
LFI攻击允许攻击者通过利用Web应用程序对文件路径处理不当,将服务器上的本地文件包含到应用程序中,导致敏感信息泄露、代码执行严重后果。LFI攻击的核心在于利用Web应用程序对用户输入的文件路径处理不当,使得攻击者可以通过构造特定的文件路径,将本地文件包含到应用程序中并执行。一般LFI漏洞存在于应用程序的文件包含功能中,当应用程序直接使用用户输入的文件路径时,攻击者可以利用此漏洞读取服务器上的任意文件。攻击者通过LFI漏洞读取服务器上的敏感文件,如配置文件、密码文件,获取服务器的敏感信息。
Web安全领域的探索之远程文件包含漏洞(LFI
Innocence_0的博客
01-18 1465
Web安全领域的探索之远程文件包含漏洞(LFI
自动化LFI漏洞扫描攻击之LFI Suite
Fly_鹏程万里
05-23 3667
agdgsgdfgfsd
LFI 漏洞的利用
Soul Blog
11-29 3222
LFI 漏洞的利用 参考链接1 参考链接2 LFI(本地文件包含漏洞),这篇文章将介绍有关该漏洞的一些利用 1、phpinfo 漏洞信息利用 将LFI漏洞转变为远程代码执行(RCE)漏洞的竞争条件,服务器端需要满足以下条件: LFI漏洞 任何显示PHPInfo()配置输出的脚本 脚本下载地址 得到脚本后,我们需要修改脚本中的攻击载荷, 使用命令 locate php-reverse 定位可用的php载荷位置 /usr/share/laudanum/php/php-reverse-s
LFI漏洞利用总结
ncafei的博客
03-14 6390
主要涉及到的函数 include(),require()、include_once(),require_once() magic_quotes_gpc()、allow_url_fopen()、allow_url_include()、move_uploaded_file() 、readfile() file()、and file_get_contents()、upload_tmp_dir()、pos
【Hackme CTF】Web--LFI
VZZmieshenquan的博客
04-21 1551
Description: What this admin’s password? That is not important at all, just get the flag. Tips: LFI, php://filter Solution: 其实见到LFI已经可以本能地知道这是考察本地包含了,查看源代码发现参数是page要读取pages/啥啥,直接用php://filter绕过读取本...
CTF web题总结--LFI
bob的博客
08-30 8723
本地文件包含漏洞(Local File Include),是php的include()函数存在设计缺陷,学习链接:php文件包含漏洞总结 题目的url都是类似这种:http://127.0.0.1/web500/index.php?action=front&mode=index http://127.0.0.1/web500/index.php?action=front&mode=newnote
【CTF】LFI漏洞总结(PHP本地文件包含漏洞)
HAPPY
07-31 1万+
学习链接: https://www.cnblogs.com/wh4am1/p/6542398.html   发现地址后面的参数直接使用的文件包含。  ?file=show.php 为了查看index.php的源文件, 可以使用下面的命令: rlfi.php  ?language=php://filter/read=convert.base64-encode/resource=index.p...
提升渗透测试技能:揭秘本地文件包含(LFI)漏洞检测与利用
本地文件包含(Local File Inclusion, LFI)是渗透测试领域中的一个重要知识点,特别是在Web应用程序的安全评估中。这种漏洞发生在Web应用未对用户输入进行有效过滤,使得攻击者能够通过恶意URL或脚本参数,使服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值