文件包含

最新推荐文章于 2024-04-26 14:43:15 发布
最新推荐文章于 2024-04-26 14:43:15 发布
阅读量430 收藏
点赞数 1
分类专栏: Web漏洞 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45253622/article/details/114977892
版权

文件包含漏洞成因

文件包含是代码注入的一种。其原理就是注入一段用户能控制的脚本或代码,并让服务器端执行,代码注入的典型代表就是文件包含 File inclusion。
文件包含可能会出现在jsp、php、asp等语言中。但是asp、jsp文件只能本地包含,而php既可以本地包含也可以远程包含。
常见的文件包含函数:
include 包含并运行指定文件,当包含外部文件发生错误时,系统给出警告,但整个php文件继续执行
include_once
require 产生错误时,停止运行
require_once
更多漏洞请点击—>传送门

漏洞利用

本地包含:

本地包含条件:
1、allow_url_fopen=On
2、用户可以动态控制变量
http://192.168.41.129/DVWA-master/vulnerabilities/fi/?page=include.php
我们将上述url include改为hello(一个不存在的文件),程序会傻傻的找hello.php文件,报出以下错误:在这里插入图片描述
在这里已经知道了网站目录,我们找到可以上传文件的地方,上传一句话,然后包含一句话,连接菜刀,就拿到了

了解本专栏 订阅专栏 解锁全文 超级会员免费看
carefree798
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
LFIboomCTF:本地文件包含突破实践原始码以及相应协议利用指南
03-23
实际上:文件包含漏洞是“代码注入”的一种,包含即执行,可干的坏事可想而知,看i春秋总结的危害有如下几种: PHP包含突破性合并上传漏洞; PHP包含读文件; PHP包含写文件; PHP包含日志文件; PHP截断包含;...
markdown-include:使用C样式语法将markdown文件包含到其他markdown文件中
02-04
markdown-include是使用Node.js构建的,它允许您使用C风格的include语法将markdown文件包含到其他markdown文件中。 编译降价文件 markdown-include的主要功能是它允许您将markdown文件包含到其他markdown文件中。 ...
文件包含漏洞全面详解
热门推荐
m0_46467017的博客
08-17 6万+
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。...
网络安全——文件包含漏洞
weixin_54055099的博客
09-24 1716
文件包含漏洞的原理
polarctf靶场【web】session文件包含、自由的文件上传系统、爆破、XFF、 rce1、iphone、ezupload
最新发布
m0_73981089的博客
04-26 1380
session文件包含文件包含、XXF伪造、rce、UA的修改、文件上传漏洞、爆破
一文详解文件包含漏洞
MachineGunJoe666
06-10 1885
file:// #访问本地文件系统http:// #访问HTTPs网址ftp:// #访问ftp URLphp:// #访问输入输出流zlib:// #压缩流data:// #数据expect:// #处理交互式的流glob:// #查找匹配的文件路径。
文件包含之Session文件包含
weixin_52096670的博客
12-18 670
ctfs=ctfs 后,会在/var/lib/php/session目录下存储session的值。该选项不开启,我们可以自定义session_id,如,我们在请求数据包设置cookie为PHPSESSID=123,那么就会生成一个sess_123的session文件,此时php会自动初始化session,并产生一个键值,格式为配置文件中的session.upload_progress.prefix的值+我们上传的session.upload_progress.name的值此键值会写入session文件。
文件包含的基本知识
cz020907020808的博客
06-25 269
文件包含时候,为了灵活包含文件设置为变量,通过动态变量来引入需要包含的文件时,用户可以对变量进行合理检验或者检验被绕过,这样就导致了文件包含漏洞。当使用该函数包含文件时,只有代码执行到include()函数时才将文件包含进来,发生错误时给出一个警告,继续向下执行。功能与include相同,区别在于代码执行到include函数时才将文件包含进来,发生错误时,继续向下执行。当包含的文件在远程服务器上时,就形成了远程文件包含。当包含文件在服务器本地时,就形成了本地文件包含
python 拷贝文件 包含子文件夹及文件
01-25
python 拷贝文件 包含子文件夹及文件
提取并显示文件包含的图标
06-11
总的来说,提取并显示文件包含的图标是软件开发中的一个基本操作,它涉及到操作系统API调用、图像处理和用户界面设计等多个方面。通过学习和实践这一技能,开发者能够更好地自定义和优化他们的应用程序,提供更具...
文件包含、命令执行漏洞、代码执行漏洞、基础代码审计
09-26
文件包含、命令执行漏洞、代码执行漏洞、基础代码审计 文件包含漏洞是指在开发过程中,开发人员将可重复使用的函数写入单个文件中,并在需要时调用该文件,而不是重新编写代码。这种调用文件的过程称为包含。文件...
Spring Boot配置文件包括示例
02-21
Spring Boot配置文件包括示例 Java 1.8.0 Gradle6.0.1 Spring Boot 2.2.2 模组 共享的: application-shared.yml app:在application.yml包含application-shared.yml
Win32MemHelpers:简单的.h文件包含用于清除Win32平台上的备用列表的功能
05-13
Win32MemHelpers 简单的.h文件包含用于在Win32平台上使用内存和文件缓存进行操作的功能ClearStandbyList-删除文件缓存ClearLowPriorityStandbyList-待定ClearWorkingSets-待定FlushModifiedList-TBD
快速检索文件关键字检查涉密文件
04-19
这项技术的核心在于关键字搜索,通过对大量文件内容进行扫描,匹配预设的关键字列表,从而找出可能包含机密数据的文档。这种技术对于保护信息安全,防止敏感信息泄露至关重要。 标签 "检测秘密文件" 暗示了这个系统...
Emacs配置文件
11-19
配置文件是Emacs的核心特点之一,它允许用户根据个人需求定制编辑环境,包括快捷键绑定、界面设置、自动补全规则、语言特定的模式等。这个"Emacs配置文件"就是对Emacs进行个性化调整的脚本,通常以`.emacs`或`init....
LabVIEW的文件管理操作
01-19
 文件管理操作节点中还包含一个Express VI——文件对话框,其图标和接线端如图2所示。  文件对话框Express VI的输入和输出接线端说明如下。  按钮标签:指定确定或当前目录按钮中的标签,如果标签超过按钮的...
文件包含漏洞全解
2301_78287784的博客
06-15 942
以上就是文件包含漏洞所有的内容,通过以上的介绍,我们可以看出文件包含漏洞利用难度,也可以根据他的原理提出修复建议:1、可以限制用户访问文件的权限;2、include函数中的参数用户是否可控,如果可控,则要限制;3、增加过滤,对用户输入的敏感参数进行过滤;4、配置文件中不必要开的参数设置为OFF等等,希望本文能对你有所帮助,星光安全面向基础。
本地文件包含详解
m0_46317658的博客
02-28 5598
文件包含的概念: 把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,无需再次编写函数。这一调用文件的过程被称为包含。 文件包含的原理: 文件包含漏洞产生的原因是在通过PHP函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。 文件包含分类 文件包含分为本地文件包含和远程文件包含,而区分二者最简单的办法就是通过查看php.ini中是否开启了allow_ url_ include. 如果开启就有可能包含远程文件。远程文件包含
文件包含技术-常见文件包含
01-24
"本文主要探讨了文件包含技术,特别是针对网络安全方面常见的文件包含路径,包括Linux和Windows系统下的示例。文件包含漏洞是网络安全中的一个重要问题,它允许攻击者通过恶意利用来执行任意代码或者获取敏感信息。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

carefree798

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值