入侵php网站需注意哪些

最新推荐文章于 2024-02-23 14:50:14 发布
最新推荐文章于 2024-02-23 14:50:14 发布
阅读量983 收藏
点赞数
分类专栏: 网络安全 文章标签: php mysql redhat file 防火墙 apache

1.linux下寻找web绝对路径的办法 
这个办法很简单 一般来说,linux+apache+mysql是常见搭配,mysql注入可以使用load_file来读取文件信息.但需要知道web绝对路径. 

我使用了如下方法: 

读取默认的apache的httpd.conf文件.这是个配置文件,ascii码.里面有个document root变量,后接的就是网站的绝对路径.对于虚拟机,有专门的vitual host开头的一系列配置. 

apache的默认路径:/etc/httpd/conf/httpd.conf 

读取code:load_file(0x2F6574632F68747470642F636F6E662F68747470642E636F6E66) 

2.查看常用的一些配置文件  

/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件 
/usr/local/apache2/conf/httpd.conf 
/usr/local/app/php5/lib/php.ini //PHP相关设置 
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置 
/etc/my.cnf //mysql的配置文件 
/etc/redhat-release //系统版本 
C:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码 
/etc/sysconfig/iptables //从中得到防火墙规则策略 

不是所有的linux都有/etc/redhat-release文件的。这个只能说明是redhat,读系统版本还是读取/etc/issue 或者 /etc/issue.net 



zacklin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php入侵代码,入侵PHP网站就这么简单.pdf
weixin_42318815的博客
03-10 1841
入侵PHP网站就这么简单.pdf适合读者:脚本爱好者、入侵爱好者一 日上网偶然看到了一个网站的UR L,引发 /我的IP/2.php,发现phpspy作为网页的一部分显了我的无限联想,其URL形~Z1]http://xxX。org.tw/ 示出来了,如图2所示。index。php?rurl=page01.php,看等号后面的那部分,明明就是个PHP文件嘛,由此我猜想inde...
PHP开发需要注意的安全问题
01-20
作为PHP程序员,特别是新手,对于互联网的险恶总是知道的太少,对于外部的入侵有很多时候是素手无策的,他们根本不知道黑客是如何入侵的、提交入侵、上传漏洞、sql 注入、跨脚本攻击等等。作为最基本的防范你需要...
虚拟入侵php网站,一次虚拟的入侵经过
weixin_32286189的博客
03-17 522
一次虚拟的入侵经过byanalysisthttp://www.china4lert.org这是一次虚拟入侵,因为这次入侵的过程都是虚拟的,但这次入侵又非常地真实,因为我们完全可以按照其中介绍的方式入侵任何一个类似的网站。我们即将入侵的主机基本情况如下:操作系统:RedHatLinuxv7.1主机地址:http://www.notfound.orgWeb服务器:Apachev1.3.20好...
虚拟入侵php网站,一次虚拟的入侵全过程 -电脑资料
weixin_39807067的博客
03-17 248
这虽然是一次虚拟入侵,但却和真实的入侵没有什么差别,因为我们完全可以按照其中介绍的方式入侵任何一个类似的网站,我们即将入侵的主机基本情况如下:操作系统:RedHat Linux v7.1主机地址:http://www.notfound.orgWeb服务器:Apache v1.3.20好了,废话少说,我们开工吧!一般来说,如果一个网站管理员比较勤快的话,我们应该很难从操作系统和Web服务器上找到漏洞...
php网站 安全,php网站入侵与安全个人见解
weixin_42302026的博客
04-12 252
1、全局变量未初始化。这样的漏洞非常难找,非CMS找到的可能性为0--可能我个人水平不够。不过一旦得手,可能是一片webshell。个人认为操作难度非常大。2、.bak泄漏Mysql数据库信息,可以直接写shell,甚至有非虚拟主机的网站,可以直接全权cmd。例如conn.php.bak。不知道这些bak怎么生成的。莫名其妙。成功率一般,大部分来自虚拟主机,所以有硬件防火墙,外界用软件连接不上,或...
入侵php网站后台管理系统,caozha-admin(PHP网站后台管理框架)
weixin_31632707的博客
04-06 1038
caozha-admin是一个通用的PHP网站后台管理框架,基于开源的ThinkPHP开发,特点:易上手,零门槛,界面清爽极简,极便于二次开发。基础功能1、系统设置2、管理员管理3、权限组管理4、系统日志5、后台功能地图6、整合了百度UEditor等各种常用插件,可去演示页面查看调用。7、无限级别分类8、文章管理系统9、用户(会员)管理系统10、评论系统(支持盖楼评论,支持设置屏蔽词、验证码、是否...
php mysql网站入侵_第一篇:PHP+MySQL injection攻击:浅谈网页安全
weixin_33609020的博客
02-04 226
什么意思呢??我想给大家看的是“/*XXXX*/”,没错,会编程的,都知道这是代码注释!换句话说,在代码编译的过程中,这部分会被忽略。充其量他就是个回车或者空格怎么测试安全性呢?在原来的地址上http://www.chts.cn/info.php?articleid=545后面加上注释:http://www.chts.cn/info.php?articleid=545/*ABCD234*/再次访问...
基于PHP的网上商店 ECShop UTF8.zip
08-28
在使用ECShop UTF8版本时,需要注意的是,所有数据库连接、文件路径等设置可能需要根据实际环境调整为UTF8编码。同时,如果遇到多语言问题,UTF8编码将确保非英文字符正确显示。 总之,ECShop是一款功能全面、易于...
PHP_IDS:PHP object School项目中的论坛站点
04-18
PHP_IDS(PHP Intrusion Detection System)是一个开源的入侵检测系统,专门设计用于PHP应用程序。它通过检测潜在的恶意输入和活动来增强Web应用的安全性,帮助开发者识别和防止SQL注入、XSS攻击、跨站请求伪造等...
雅黑探针 FOR PHP7 ,KN007
03-20
2. **误报处理**:虽然雅黑探针尽力减少误报,但仍可能出现误报情况,需人工确认后再进行修复。 3. **更新维护**:关注雅黑探针的更新,及时升级以获取最新的安全检测规则和修复方案。 通过合理使用雅黑探针,...
php来改写404错误页让你的页面更友好
12-18
8. **经验与判断**:识别异常访问模式和潜在入侵行为需要对网站的结构和常见流量有深入了解,有时还需要结合其他工具和策略来确定是否为恶意行为。 总结来说,通过PHP定制404错误页面,可以增强网站的用户体验,...
那些年干过的事(一)——php电商网站入侵及防护
山东大葱哥
11-07 1517
背景 偶遇一从事电商的朋友,闲谈说到了他的电商网站,他不理解自己的网站是如何被破解的,问我能否帮忙看看他的网站存在哪些安全漏洞,说实话当时偶并没有研究过网站破解及安全防护,也是一时兴起抱着学习的态度答应了朋友。 目标: 寻找网站漏洞获取后台数据,提供修复建议 工具及手段: google、UE、Sqlyog、SQL注入 方式方法: 1、了解目标网站
php网站入侵又添加新途径
qiushi888的专栏
06-05 1401
那就是最近很多网站,框架爆出的 preg_replace正则的e参数, 代码: preg_replace("/(.+)/e","\\1","phpinfo();"); 如果加了e参数的话,第二个参数得到的匹配结果将会被当作php代码执行!!!!! 而且,第一个参数的正则是可以用\0截断的,也就是说,如果第一个参数引入一个外部变量的话,我们还可以自己把正则加个e参数
php html 入侵,PHP文件包含漏洞攻防实战(allow_url_fopen、open_basedir)
weixin_34223354的博客
03-21 570
摘要PHP是一种非常流行的Web开发语言,互联网上的许多Web应用都是利用PHP开发的。而在利用PHP开发的Web应用中,PHP文件包含漏洞是一种常见的漏洞。利用PHP文件包含漏洞入侵网站也是主流的一种攻击手段。本文对PHP文件包含漏洞的形成、利用技巧及防范进行了详细的分析,并通过一个真实案例演示了如何利用PHP文件包含漏洞对目标网站进行渗透测试,最终成功获取到网站的WebShell。1. PHP...
简单入侵php,get)
agan04的专栏
08-28 3052
首先google一下:inurl:php?articalid=,然后找到一个网站,如下: 简单测试,发现该网站对url不设过滤: 我们的目标是获取该网站的管理员权限,很明显,管理员的名称和密码在数据库内的某个表中。 首先想了解数据库里有什么,尝试:selec
PHP网站非注入另类入侵方法.zip
weixin_34014555的博客
07-12 93
PHP网站非注入另类入侵方法.zip 点击进入高速下载通道 转载于:https://www.cnblogs.com/gwrjy/p/7157663.html
PHP木马入门指南:绕过WAF轻松入侵
鹅子鱼的博客:很菜但是很好学的小菜鸟
03-24 1132
一句话木马之后,演变一下,绕狗且不是轻轻松松
PHPPHP网站常见一些安全漏洞及防御方法
最新发布
A1_3_9_7的博客
02-23 1406
一、常见PHP网站安全漏洞对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。1、session文件漏洞Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用于方便用户的使用和访向。2、SQL注入漏洞。
实战:通过tp5.0.5漏洞入侵企业网站
weixin_44763740的博客
07-24 701
下一步就是使用蚁剑连接webshell,看到这里,大家都以为可以直接getshell了吧,但是命运就是这么捉弄人,明明已经将木马包含在日志中,并且有绝对路径,相关函数也没有禁用,这一切看起来都是那么顺利,可就是连接失败。后来我又尝试换冰蝎马,但是因上传做了字符串限制,只能用最简单的一句话木马,其余多一个字符串都会被截掉,那么会不会是编码器的问题呢?以上可知,木马已存在,且路径正确,那一定是连接出问题了。我是身上有点执念的,为了梦想也好,目标也罢,有时候,你不去较劲儿,永远不知道自己能改变什么。
学校网站安全防护:应对DDoS与PHP木马策略
该文件是关于学校网站的早期形态及其遭遇的安全问题,特别是DDoS攻击和PHP木马入侵,以及相应的紧急解决方案。其中包含了PHP代码示例,如何连接数据库和创建表格,以及显示数据的方法。此外,文件还讨论了其他安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值