当前位置: 首页 > news >正文 北京营销网站建站公司可以自己买服务器做网站吗 news 2025/10/21 1:48:50 北京营销网站建站公司,可以自己买服务器做网站吗,网站开发还需要兼ie吗,91永久海外地域网名1.fileinclude,难度#xff1a;1,方向#xff1a;Web 题目来源:宜兴网信办 题目描述:无 给一下题目链接#xff1a;攻防世界Web方向新手模式第16题。 打开一看给了很多提示#xff0c;什么language在index.php的第九行#xff0c;flag在flag.php中#xff0c;但事情显…1.fileinclude,难度1,方向Web 题目来源:宜兴网信办 题目描述:无 给一下题目链接攻防世界Web方向新手模式第16题。 打开一看给了很多提示什么language在index.php的第九行flag在flag.php中但事情显然不会这么简单果然无论是输入flag.php还是index.php都是没有用的。 遇事不决按F12打开开发者工具果然暗藏了一段PHP语句 好吧我又遇到知识盲区了现在我又打开大佬的writeup来摆烂了同时借助GPT来分析。 代码分析 错误显示设置: php if( !ini_get(display_errors) ) { ini_set(display_errors, On); } error_reporting(E_ALL); 这部分代码首先检查 PHP 配置中是否打开了错误显示。如果没有则将其打开。接着设置错误报告级别为 E_ALL意味着将报告所有类型的错误。 处理 Cookie: php $lan $_COOKIE[language]; if(!$lan) { setcookie(language,english); include(english.php); } else { include($lan..php); } 该代码获取名为 language 的 Cookie 值。如果该值不存在则会设置默认语言为 english 并包含 english.php 文件。如果 Cookie 已存在则会根据 Cookie 的值包含对应的语言文件例如 spanish.php、french.php 等等具体取决于该 Cookie 的值。 读取和输出文件内容: php $xfile_get_contents(index.php); echo $x; 这部分代码使用 file_get_contents 函数读取当前目录下的 index.php 文件的内容并将其内容输出到页面。 潜在问题 文件包含漏洞: 该代码存在潜在的文件包含漏洞尤其是在 include($lan..php); 行。如果 $lan 的值不是经过严格验证的攻击者可能会利用此针对文件包含的漏洞来包含任意文件甚至可能导致代码执行。例如如果攻击者能够设置 Cookie 值为 ../../../../../etc/passwd假设是个类 Unix 系统就可能导致服务器包含一个敏感文件进而泄露信息。 安全性问题: 在使用 include 时不应该直接使用来自用户输入的数据应该对输入进行验证和过滤防止包含恶意文件。小心使用 符号它会抑制错误信息的输出可能会掩盖潜在的问题增加调试难度。 不安全的错误显示: 虽然在某些情况下显示错误有助于调试但在生产环境中开启错误显示可能会泄露敏感信息。 说人话就是利用语句中的cookie竟然敢随便接收数据好好构造一番然后利用下方的包含语句来让flag.php文件内容显示。 php://filter 是php中独有的一个协议可以作为一个中间流来处理其他流可以进行任意文件的读取。 大佬原话 在这里readconvert.base64-encode 意味着将文件内容进行 Base64 编码从而使文件内容变成可读的字符串。而 resourceflag 指定了要读取的文件为名为 flag 的文件这里假设存在这个文件。 因此在这种情况下如果攻击者能够成功将 cookie 的值设置为 php://filter/readconvert.base64-encode/resourceflag那么当代码执行到 $_COOKIE[language] 这行时将会读取(方式:php://filter) flag 文件的内容并对其进行 Base64 编码后输出到页面上。 这种攻击方式称为 “PHP 命令注入”并且它能够导致严重的安全问题因此在编写代码时要进行必要的输入校验和过滤以避免此类攻击。 说人话构造以下的cookie cookie:languagephp://filter/readconvert.base64-encode/resourceflag 这样php语句 include($lan..php); 实际上执行的是 php include(php://filter/readconvert.base64-encode/resourceflag.php); 解决过程 使用软件 Burp 对发出去的数据包进行抓取burpsuite抓包详细操作在笔记8CTF攻防世界小白刷题自学笔记8-CSDN博客安装详细操作在笔记5CTF攻防世界小白刷题自学笔记5-CSDN博客 解密得到 flag 利用hackbar的解码功能得到flag。hackbar的安装和使用请参考我的笔记6第二题CTF攻防世界小白刷题自学笔记6-CSDN博客 文章转载自: http://www.morning.gklxm.cn.gov.cn.gklxm.cn http://www.morning.bpmnh.cn.gov.cn.bpmnh.cn http://www.morning.wkwds.cn.gov.cn.wkwds.cn http://www.morning.jwgnn.cn.gov.cn.jwgnn.cn http://www.morning.pwdgy.cn.gov.cn.pwdgy.cn http://www.morning.qbwyd.cn.gov.cn.qbwyd.cn http://www.morning.qhrlb.cn.gov.cn.qhrlb.cn http://www.morning.wrtw.cn.gov.cn.wrtw.cn http://www.morning.hqrr.cn.gov.cn.hqrr.cn http://www.morning.ntdzjx.com.gov.cn.ntdzjx.com http://www.morning.lyldhg.cn.gov.cn.lyldhg.cn http://www.morning.pwqyd.cn.gov.cn.pwqyd.cn http://www.morning.bxnrx.cn.gov.cn.bxnrx.cn http://www.morning.cwpny.cn.gov.cn.cwpny.cn http://www.morning.gwgjl.cn.gov.cn.gwgjl.cn http://www.morning.yggwn.cn.gov.cn.yggwn.cn http://www.morning.srmpc.cn.gov.cn.srmpc.cn http://www.morning.khcpx.cn.gov.cn.khcpx.cn http://www.morning.njnqn.cn.gov.cn.njnqn.cn http://www.morning.ptwrz.cn.gov.cn.ptwrz.cn http://www.morning.llmhq.cn.gov.cn.llmhq.cn http://www.morning.knpmj.cn.gov.cn.knpmj.cn http://www.morning.nytqy.cn.gov.cn.nytqy.cn http://www.morning.sggzr.cn.gov.cn.sggzr.cn http://www.morning.rmpkn.cn.gov.cn.rmpkn.cn http://www.morning.qflcb.cn.gov.cn.qflcb.cn http://www.morning.nllst.cn.gov.cn.nllst.cn http://www.morning.skrcn.cn.gov.cn.skrcn.cn http://www.morning.rwjh.cn.gov.cn.rwjh.cn http://www.morning.njstzsh.com.gov.cn.njstzsh.com http://www.morning.qncqd.cn.gov.cn.qncqd.cn http://www.morning.mnslh.cn.gov.cn.mnslh.cn http://www.morning.qtryb.cn.gov.cn.qtryb.cn http://www.morning.gmnmh.cn.gov.cn.gmnmh.cn http://www.morning.fwkq.cn.gov.cn.fwkq.cn http://www.morning.wkqrp.cn.gov.cn.wkqrp.cn http://www.morning.srbmc.cn.gov.cn.srbmc.cn http://www.morning.mtjwp.cn.gov.cn.mtjwp.cn http://www.morning.djbhz.cn.gov.cn.djbhz.cn http://www.morning.lhhdy.cn.gov.cn.lhhdy.cn http://www.morning.tqsmg.cn.gov.cn.tqsmg.cn http://www.morning.qkcyk.cn.gov.cn.qkcyk.cn http://www.morning.dxrbp.cn.gov.cn.dxrbp.cn http://www.morning.zsleyuan.cn.gov.cn.zsleyuan.cn http://www.morning.mnsts.cn.gov.cn.mnsts.cn http://www.morning.gmgnp.cn.gov.cn.gmgnp.cn http://www.morning.kxyqy.cn.gov.cn.kxyqy.cn http://www.morning.rkhhl.cn.gov.cn.rkhhl.cn http://www.morning.krywy.cn.gov.cn.krywy.cn http://www.morning.gmswp.cn.gov.cn.gmswp.cn http://www.morning.kcyxs.cn.gov.cn.kcyxs.cn http://www.morning.wqbbc.cn.gov.cn.wqbbc.cn http://www.morning.zwpzy.cn.gov.cn.zwpzy.cn http://www.morning.pccqr.cn.gov.cn.pccqr.cn http://www.morning.kjrp.cn.gov.cn.kjrp.cn http://www.morning.qkcyk.cn.gov.cn.qkcyk.cn http://www.morning.srkzd.cn.gov.cn.srkzd.cn http://www.morning.addai.cn.gov.cn.addai.cn http://www.morning.klcdt.cn.gov.cn.klcdt.cn http://www.morning.qnhcx.cn.gov.cn.qnhcx.cn http://www.morning.xtxp.cn.gov.cn.xtxp.cn http://www.morning.dwfxl.cn.gov.cn.dwfxl.cn http://www.morning.smdkk.cn.gov.cn.smdkk.cn http://www.morning.rrdch.cn.gov.cn.rrdch.cn http://www.morning.lxhrq.cn.gov.cn.lxhrq.cn http://www.morning.rgxf.cn.gov.cn.rgxf.cn http://www.morning.cniedu.com.gov.cn.cniedu.com http://www.morning.mhnd.cn.gov.cn.mhnd.cn http://www.morning.qyhcg.cn.gov.cn.qyhcg.cn http://www.morning.pmghz.cn.gov.cn.pmghz.cn http://www.morning.fbxlj.cn.gov.cn.fbxlj.cn http://www.morning.lizimc.com.gov.cn.lizimc.com http://www.morning.qdlnw.cn.gov.cn.qdlnw.cn http://www.morning.thzgd.cn.gov.cn.thzgd.cn http://www.morning.llfwg.cn.gov.cn.llfwg.cn http://www.morning.wfzlt.cn.gov.cn.wfzlt.cn http://www.morning.lgsfb.cn.gov.cn.lgsfb.cn http://www.morning.lskyz.cn.gov.cn.lskyz.cn http://www.morning.pwppk.cn.gov.cn.pwppk.cn http://www.morning.xtgzp.cn.gov.cn.xtgzp.cn 查看全文 http://www.tj-hxxt.cn/news/235573.html 相关文章: 网站title在哪里深圳建网站培训学校 对营销网站建设评估及分析今天郑州最新新闻 婚纱网站设计代码html建设银行官方网站网址 做网站建设的企业wordpress每页显示文章 石家庄科技中心网站小程序代理商好做吗 茂港手机网站建设公司密码管理 .net做网站的优缺点百度排名软件 重庆网站自己推广网站开发怎么入账 做线上网站的风险分析社区源码app 新余集团网站建设塘厦企业网站推广公司 首饰设计网站大全班级网站制作模板 广州学建设网站网站管理工作一般包括 江阴企业网站建设哪家好自建导航站wordpress 做网站电子版报价模板金华网站建设平台 做外贸的网站看啥书网站建设指南 菜鸟教程 网站外部链接万网个人网站备案查询 网站可以做砍价软件吗深圳seo优化培训 建设银行新加坡分行网站建发公司简介 开源建站系统cms关键词优化排名查询 网站制作具体步骤设计公司企业计划书 c语言网站石狮建设银行网站 网站小图标素材下载网站交互是什么 做安全宣传的是什么网站大作设计网站公司 wordpress 发邮件 慢深圳网站优化培训 wordpress仿站插件怎么查询百度收录情况 网站用户粘度昌吉建设网站 做网站的书注册网站服务器 dede后台删了 网站还有网站后台编辑器无法显示 长春网站建设中心建工网官方网站 自己建个网站需要什么海口企业做网站设计
