文件包含练习

最新推荐文章于 2022-10-20 20:13:16 发布
最新推荐文章于 2022-10-20 20:13:16 发布
阅读量902 收藏
点赞数 2
分类专栏: 文件包含 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48876267/article/details/119728959
版权

文件包含的练习
访问目标地址

  • 利用php://input协议来验证网页是否有文件包含漏洞
php://input 协议  需要allow_url_include    ?file=php://imput [POST DATA]<?php phpinfo()?>
访问请求的原始数据的制度流,将post请求的数据当做php代码来执行

执行成功

  1. 利用php://input协议来进行目录跳转以及查看根目录下的flag文件
    看到一个fi文件目录
    当查看根目录的时候报错,此时将命令利用引号括起来就可以解决
    找到flag.txt文件
    找到了flag
  2. 访问fi目录文件
    提示这是个flag页面
    查看网页源代码,发现并没有flag
    联系上文,已知他是文件包含靶场,所以利用php://filter协议进行base64加密的方式将flag.php页面展现出来
    在这里插入图片描述
php://filter/read/convert.base64-encode/resource=flag.php

将网页信息进行base64解码
在这里插入图片描述

clusters of stars
关注
专栏目录
File Inclusion(文件包含)
raynah的博客
06-30 419
File Inclusion(文件包含漏洞)概述 文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在PHP中,提供了: include(),include_once() require(),require_once() 这些文件包含函数,这些函数在代码设计中被经常使用到。 大多数情况下,文件包含函数中包含的代码文件是固定的,因此也不会出现安全问题。 但是,有些时候,文...
[CTF]CTFSHOW文件包含练习笔记
Sapphire037的博客
11-01 271
前言 1.什么是文件包含? 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意 外的文件泄漏甚至恶意代码注入。 2.文件包含的要求是什么? alow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据 allow_url_include=On(php5.2之后默认为Off) 规定是否允许include/require远程文件 3.通过什么触发? 通过php函数例如include,require等等 include只生成警告但是会
文件包含-DVWA练习
qq_63087425的博客
10-20 1186
首先,我们需要大概知道文件包含是什么,可能会产生哪些漏洞,如何利用这些漏洞看相关文章环境:win10+phpstudy。
文件包含练习1
qq_61109509的博客
02-07 1063
大佬文章
文件包含漏洞练习
weixin_33738578的博客
01-11 176
转载来自:新手指南:DVWA-1.9全级别教程之File Inclusionhttp://www.freebuf.com/articles/web/119150.html (1)File Inclusion,意思是文件包含(漏洞),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),requ...
python中的文件读写练习题(csdn)————程序.pdf
12-03
Python 文件读写练习题 Python 语言中处理文件读写是非常重要的一部分,本文将通过实践 exercises 介绍 Python 中的文件读写操作。 文件读写的重要性 在实际应用中,文件读写操作是非常常见的,例如读取数据文件...
python3文件处理练习
01-20
这里我们通过三个练习来探讨Python3中的文件处理,包括去除重复行、实现文件拷贝以及在不改变格式的情况下修改文件内容。 **练习一:去除文件中重复的行** 这个练习的目标是在保持文件原有顺序不变的情况下,删除...
Python基础练习文件源码.rar
04-23
Python基础练习文件源码,里面有py文件,代码注释等等 大概有 Break退出循环语句 continue跳过本次循环继续下次循环 count计算次数 def自定义函数 Dic字典 difference差异对比 Do----While循环语句 Find查找函数 ...
SPSS练习数据文件.rar
06-10
标题中的"SPSS练习数据文件.rar"表明这是一个包含用于学习SPSS的数据集压缩包。SPSS,全称Statistical Product and Service Solutions,是一款强大的统计分析软件,广泛应用于社会科学、商业、医疗研究等领域。这个...
Excel练习文件
03-29
"Excel练习文件"旨在帮助初学者掌握基础到进阶的Excel技能,提供了一个全面的学习平台,包括各种操作技巧和解决问题的方法。在这个压缩包中,可能包含了一系列的练习工作簿和解答文件,方便用户自我检测和学习。 1....
CTF练习文件包含1
SDM_JH的博客
07-21 673
1.点击3个跳转页面,发现可能存在文件包含漏洞。 2.使用php filter获取源码。 …/index.php?page=php://filter/convert.base64-encode/resource=index 3.对得到的base64编码解码,使用浏览器控制台window.atob()。 发现如果GET请求log参数有对应的值的话,就可以包含flag.txt文件。 4.访问flag.txt确认确实有该文件,不过无权限访问。 5.使用php filter得到login界面的源码,并解码。 发
文件包含漏洞的学习(含pikachu练习)
qq_51558360的博客
01-24 464
文件包含漏洞概述 和SQL注入等攻击方式一样,文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。 对于包含 以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程就叫做包含 漏洞成因 程序开发人员都希望代码更加灵活,所以通常会将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。 以php,webapplication 中居多。j
文件包含漏洞简单总结【附练习记录】
ximo的博客
02-13 343
文件包含漏洞 什么是文件包含: 为了更好的使用代码的 重用性,引入了文件包含函数,可以通过文件包含函数将文件包含进来,直接使用包含文件的代码。 文件包含漏洞的成因: 为了灵活的包含文件,将被包含文件设置为变量,通过动态变量引入需要包含的文件时,用户对变量的可控而服务器端卫队变量值合理的校验或被绕过。 文件包含函数: include() // 找不到被包含文件时产生警告,脚本继续执行 include_once() // 与include类似,但如果该文件的代码已经被包含,则不会再次包含 require()
DVWA练习5-文件包含漏洞
seeicb的博客
03-11 416
title: DVWA练习5-文件包含漏洞 date: 2016-03-11 13:32:17 categories: 安全 tags: Web安全 一、文件包含漏洞 1.简介 如果允许客户端用户输入控制动态包含在服务器端的文件,会导致恶意代码的执行及敏感信息泄露,主要包括本地文件包含和远程文件包含两种形式。 PHP: include(),include_once(),require(),requ...
WEB渗透测试_文件包含
CODER的博客
07-11 1106
RFI:REMOTE FILE INCLUDE &amp;amp;amp;blah= LFI:LOCAL FILE INCLUDE %00截断后缀 1.记录一次渗透测试 随便写个后缀 发现文件包含有问题 http://xxxx/index.php?p=test ( ! ) Warning: include(test.page.php) [&amp;amp;lt;a href='function.include'&amp;amp;g...
文件包含漏洞_练习
weixin_51583379的博客
09-22 1631
发现源代码里面有一句话木马我们可以复制,地址到中国蚂🗡,然后把cmd填上发现连接成功。
CTF实战练习:文件上传漏洞+文件包含漏洞
热门推荐
烟雨天青色
08-06 1万+
BugkuCTF:文件包含2 CTF实战练习:http://120.78.xx.xxx:8013 这道题目看起来又像是跟前一道题是差不多的样子,继续先查看index.php里面的内容: 哎~这次好像显示的并不是base64编码的内容,但是感觉起来这个信息一点用都没有,第二步,查看网页源代码: 从网页源代码里我们可以看出在JS脚本里包含了一个html页面,我们现在来访问一下这个页...
文件包含漏洞靶场练习
ximo的博客
02-13 1865
目录Lfi-Labs说明LFI-1LFI-2LFI-3LFI-4LFI-5ctfshowweb 78web 79web 80-81web 82-86web 87web 88 Lfi-Labs 说明 该环境为phpstudy搭建,在网站根目录下存在phpinfo.php;以此为例。 LFI-1 源码: <?php include($_GET["page"]); ?> payload: ?page=phpinfo.php 发现并没用成功,使用 ../ 返回上一级目录 LFI-2 源码: &lt
文件包含漏洞——DVWA练习
Lemon's blog
08-11 1006
前言:在学习文件上传时,制作的图片马需要我们手动去解析,而解析的方法就算用到了文件包含漏洞,所以这次就来学习一下文件包含漏洞。 文件包含漏洞简介 (一)文件包含可以分为本地文件包含和远程文件包含两种。文件包含和文件上传一样本身并不是漏洞,而是攻击者利用了包含的特性加上了应用本身对文件控制不严格,对include进来的文件不可控,才导致了一系列危害。 (二)本地文件包含就是通过URL将服务器本地的...
python 文件操作练习
最新发布
08-30
Python 文件操作是学习Python中的一个重要部分,它包括读取文件、写入文件和处理文件中的数据等操作。以下是一些常见的Python文件操作练习题: 1. 写一个Python脚本,创建一个名为"test.txt"的文件,并向该文件中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值