- 博客(4)
- 收藏
- 关注
RSS订阅原创 php代码审计及文件包含漏洞
php代码审计及文件包含漏洞一、文件包含漏洞介绍1.什么是文件包含相同代码重复出现在不同文件中出现代码亢余,所以出现了文件包含函数,就是让代码更为高效。需要用到的部分会去调用,且被包含的文件会当PHP代码执行,忽略本身后缀名。文件包含分为本地文件包含(Loacl File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI),远程文件包含需要在php.ini中设置allow_url_include = on 和 allow_url_fopen = on2.
2022-02-15 17:47:09
3304
原创 php代码执行函数解析
**php代码执行函数解析**一、代码执行漏洞原理:用户输入的数据被当做后端代码进行执行<?php @eval($_REQUEST[8])?>//其实一句话木马的本质就是一个代码执行漏洞。用户输入的数据被当做代码进行执行。这里提一下RCE(remote command/code execute)远程命令或者代码执行。现在只要渗透的最终情况可以实现执行命令或者是代码都属于RCE,例如代码执行、文件包含、反序列化、命令执行,甚至是写文件Getshell都可以属于RCE在PHP存在诸多
2022-02-11 17:08:48
3490
原创 XML注入学习
一、什么是XML注入XML 指可扩展标记语言(EXtensible Markup Language)XML 是一种标记语言,很类似 HTMLXML 的设计宗旨是传输数据,而非显示数据XML 标签没有被预定义。您需要自行定义标签。XML 被设计为具有自我描述性。XML 是 W3C 的推荐标准简单来说xml就是用来存储数据的。二、XML的特点XML仅仅是纯文本,他不会做任何事情。XML可以自己发明标签(允许定义自己的标签和文档结构)三、XML的定义首先是XML声明,然后是DTD
2022-02-10 14:37:01
6989
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人