网络攻防入门---文件包含漏洞

最新推荐文章于 2024-03-22 17:00:00 发布
最新推荐文章于 2024-03-22 17:00:00 发布
阅读量300 收藏
点赞数
分类专栏: 知识扩展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzldm/article/details/111825678
版权
本文介绍了文件包含漏洞的三个级别:low、medium和high,讲解了如何利用这种漏洞进行攻击。在low级别,由于缺少检查,攻击者可任意引入页面甚至执行恶意代码;medium级别通过过滤URL但仍能被绕过;在high级别,严格限制了可包含的文件,降低了攻击可能性。通过实例展示了如何生成和利用木马文件控制服务器。
摘要由CSDN通过智能技术生成

有些网页具有包含其他页面到当前页面的功能,是通过URL设置参数添加进来的,比如下面这个URL

http://192.168.232.128/dvwa/vulnerabilities/fi/?page=include.php

将include.php包含进来

一:low级别

 <?php

    $file = $_GET['page']; //The page we wish to display 

?>

因为源码中没有对页面进行检查,直接包含,所以可以随意引入其他页面

比如引入c.php
在这里插入图片描述
也可以在文件里添加恶意代码,执行之后会在目标服务器生成木马,以此来入侵目标系统。

下面这行代码能够生成一句话目标

<?fputs(fopen("shell1.php",
最低0.47元/天 解锁文章
濯君
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Python安全攻防-从入门到入狱
Yasso的博客
01-31 1万+
Python安全攻防-从入门到入狱
08_理论8_文件包含漏洞的原理与实践_20180921
02-10
08_理论8_文件包含漏洞的原理与实践_20180921
应用安全 - Web安全 - 文件包含攻防
weixin_30865427的博客
07-15 185
LFI -无限制本地文件包含 通过目录遍历漏洞可以获取到系统中其他文件的内容 常见的敏感信息路径 Windows系统 c:\boot.ini // 查看系统版本 c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件 c:\windows\repair\sam // 存储Windows系统初次安装的密码 c:\Progr...
网络安全:文件包含
垃圾管理员的垃圾站
09-03 620
前言: 继上篇《网络安全:文件上传 + 一句话木马原理 + 菜刀的简单使用》 文件包含,这个名词一出来。我们可能第一个想到的就是c语言里面的头文件的包含,include <stdio.h>,include <stdlib.h>等等。 我们知道它的作用就是将头文件包含到当前文件中,从而可以使用头文件中的变量,函数等等。网络中的文件包含和它相似略有不同。...
攻防_漏洞_文件包含_文件包含漏洞详解
redglare的博客
10-22 4107
文件包含漏洞详解
网络安全-文件包含漏洞原理、攻击及防御
关注网络安全、云原生安全
08-14 6220
目录 简介 类型 原理 攻击 防御 简介 文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 类型 根据不同的配置环境,文件包含漏洞分为如下两种情况:1.本地文件包含漏洞:仅能够对服务器本地的文件进行包含,由于服务器上的文件并不是攻击者所能够控制的,因此该情况下,攻击者更多的包含一些固定的系统配置文件,从而读取系统敏感信息。很多时候本地文件包含漏洞结合一些特殊的文件上传漏洞,从而形成更大的威力。2.远程文件
黑客攻防从入门到精通 1-6章
csdncsdnq的博客
10-18 2964
刚刚开始网络安全的时候特别迷茫,大一在老区,什么资源都莫得,开了一个百度网盘的VIP年费,在网上收集各种资源,但是,还是错过了好多,总是感觉大一白干了,浪费了一年的时间,无奈,因为莫得人指点,大学老师是挺厉害的,但是吧出于自己的害羞,没问…现在我正式开始我的网络安全之路。 先给介绍我的大一都干了什么:开了百度网盘vip年费,至今为这个做法点赞,里面有上千G的资源,都是关于网络安全,先给看一...
2021-06-24CTF-攻防世界-WEB新手练习区(12题入门题)
u258710的博客
06-24 2583
CTF-攻防世界-WEB新手练习区(12题入门题)01-view_source02-robots03-backup04-cookie05-disabled_button06-weak_auth07-simple_php08-get_post09-xff_referer10-webshell11-command_execution12-simple_js 01-view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 题目提示查看网页源代码,但鼠标右键不管用
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3165
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
攻防入门学习
07-24
COURSE NAME 攻 防 入  门
edjpgcom-图片添加代码工具.zip
07-20
可以往图片中添加木马的强大工具,懂的人自然懂,CSDn没有资源,上传一个以备用时。-------------------
网络攻击与防御之文件包含漏洞
代登辉的博客
04-15 388
二、文件包含漏洞 2.1 概述 ​ 文件包含:服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)。 ​ 文件包含漏洞:即File Inc...
网络攻防路7-xctf php_include
大紫明宫空离境
11-17 179
一Web_php_include 此次考察PHP基本语法 二 步骤 1 进入试题界面 2 访问/?page=http://127.0.0.1/?hello=<?system("ls");?> 3 访问?page=http://127.0.0.1/?hello=<?show_source("fl4gisisish3r3.php");?> 三 总结 解题需要了解include strstr str_replace system("ls") show_sour..
什么是文件包含漏洞文件包含漏洞利用方法及防御技巧
最新发布
2201_75362610的博客
03-22 1913
例如,攻击者可以将 _GET[‘url’]的值,那么他们就可以在目标系统上从任意URL获取内容。例如,攻击者可以将 G​ET[′url′]的值,那么他们就可以在目标系统上从任意URL获取内容。例如,攻击者可以将_GET[‘url’]的值设置为“http://attacker.com/恶意代码.php”,这样就可以在目标系统上执行恶意代码。例如,攻击者可以将 G​ET[′file′]的值,那么他们就可以在目标系统上包含任意文件。如果攻击者能够控制包含的文件的内容,那么他们就可以在目标系统上执行任意代码。
利用文件包含漏洞-getshell
LJH1999ZN的博客
02-22 7439
一、什么是文件包含漏洞 文件包含是指应用程序没有对引用的文件做合理的校验,导致包含的文件中含有恶意的代码,并且执行了该代码。从而产生了文件包含漏洞 二、文件包含漏洞利用条件 1.引用一个任意类型的文件 2.程序读取文件并且执行 三、将木马程序放入某个本地文件中。 1.利用网站报错日志写入木马程序 2.利用文件上传功能,上传含有木马的任意文件 四、文件包含getshell 1.本地文件包含getshell 网站将一些错误信息记录到日志文件中,我们可以利用这个特性将木马写入日志文件中去
文件包含漏洞(原理及介绍)
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
12-08 6138
File inclusion,文件包含漏洞)。程序开发人员通常出于灵活性的考虑,将被包含的文件设置成变量,然后动态调用这些文件。但正是因为调用的灵活性导致用户可能调用一些恶意文件,造成文件包含漏洞文件包含漏洞分为本地文件包含漏洞和远程文件包含漏洞.
PHP代码审计6—文件包含漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
07-27 1917
文件包含漏洞整理与历史漏洞分析
网络安全——文件包含漏洞
weixin_54055099的博客
09-24 1779
文件包含漏洞的原理
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值